aplicaÇÃo do ciclo de vida de seguranÇa da iec61511.pdf
TRANSCRIPT
UNIVERSIDADE FEDERAL DA BAHIA
ESCOLA POLITÉCNICA
PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA INDUSTRIAL
CURSO DE ESPECIALIZAÇÃO EM AUTOMAÇÃO INDUSTRIAL COM
ÊNFASE EM INFORMÁTICA, INSTRUMENTAÇÃO, CONTROLE E OTIMIZAÇÃO
DE PROCESSOS CONTÍNUOS
ERICK JOMIL BAHIA GARCIA
APLICAÇÃO DO CICLO DE VIDA DE SEGURANÇA DA
IEC 61511 NO PROJETO PVC ALAGOAS BRASKEM S.A.
Salvador
2012
ERICK JOMIL BAHIA GARCIA
APLICAÇÃO DO CICLO DE VIDA DE SEGURANÇA DA
IEC 61511 NO PROJETO PVC ALAGOAS BRASKEM S.A.
Monografia apresentada ao Programa de
Pós-Graduação em Engenharia Industrial,
Escola Politécnica, Universidade Federal
da Bahia, como requisito para obtenção
do grau de Especialista em Automação
Industrial.
Instrutora: Monica Levy Hochleitner, Msc.
Salvador
2012
“Quando você não pode medir, seu
conhecimento é escasso e insatisfatório.”
Lord Kelvin, 1883
RESUMO
GARCIA, Erick Jomil Bahia; “Aplicação do Ciclo de Vida de Segurança da IEC
61511 no Projeto PVC Alagoas Braskem S.A.”; Salvador, BA; Programa de Pós
Graduação em Engenharia Industrial, Escola Politécnica, Universidade Federal da
Bahia, 2012. 92 f. Monografia (Especialização).
Dentro do contexto da indústria petroquímica, a especificação do modo de
operação e dos componentes para funções instrumentadas de segurança
necessitam ser analisados à luz de padrões internacionais que apresentem as
melhores práticas de engenharia, sendo hoje o padrão mais utilizado a IEC 61511-1,
2 e 3:2003 - Functional safety - Safety instrumented systems for the process industry
sector. Este estudo pretende analisar e avaliar qualitativamente como a Braskem
S.A. utilizou o ciclo de vida de segurança estabelecido pela norma IEC 61511:2003
para projetar o sistema instrumentado de segurança (SIS) da nova planta de PVC
em Alagoas. As etapas do ciclo de vida de segurança serão verificadas por durante
o estudo com o objetivo de fornecer subsídios para a empresa aprimorar seus
processos de aplicação da referida norma. O ciclo de vida de segurança utilizado no
projeto, objeto do estudo, consiste das seguintes etapas: identificação e
quantificação dos riscos de processos, determinação do nível de integridade de
segurança (SIL) requerido, criação da especificação de requisitos de segurança,
seleção de componentes com especificação da arquitetura e relatório de verificação
das funções instrumentadas de segurança. As etapas do ciclo de vida de segurança
pós-projeto não serão analisadas. A partir dos resultados da análise, pretende-se
identificar objetivamente se a norma IEC 61511:2003 foi aplicada em sua totalidade
ou parcialmente, assim como verificar o grau de aderência aos requerimentos da
mesma. Através da conclusão do estudo surgem recomendações para o processo
de engenharia utilizado pela empresa.
Palavras-chaves: SIL. IEC 61511. SIS. Segurança de processo.
ABSTRACT
GARCIA, Erick Jomil Bahia; “Using IEC 61511 Safety Lifecycle in PVC Project
Alagoas Braskem SA”; Salvador, BA; Programa de Pós Graduação em Engenharia
Industrial, Escola Politécnica, Universidade Federal da Bahia, 2012. 92 f. Monografia
(Especialização).
Within the context of the petrochemical industry, the specification of the
operation mode and components for safety instrumented functions need to be
analyzed under international standards that follow the best engineering practices,
and nowadays IEC 61511-1, 2 and 3:2003 - Functional safety - Safety instrumented
systems for the process industry sector is the standard more often used and known.
This study aims to analyze how Braskem SA used the safety life-cycle established by
the IEC 61511:2003 standard for the design of safety instrumented system (SIS) of
its new PVC plant in Alagoas. The stages of the safety life-cycle will be verified with
the objective of providing subsidies to improve their business processes. The safety
life-cycle used in this project consists of the following steps: identification and
quantification of processes risks, determining the safety integrity level (SIL) required,
establishment of safety requirements specification, component selection with
architecture specification report and verification of safety instrumented functions. The
stages of the safety life-cycle post project will not be evaluated. From the results, we
intend to identify objectively if IEC 61511:2003 standard was applied in whole or in
part, so as to verify the degree of adherence to the requirements. From the
conclusion of the study, recommendations arise for the engineering flow process
used by the company.
Keywords: SIL. IEC 61511. SIS. Process safety.
LISTA DE ILUSTRAÇÕES
Figura 1 – Acidentes envolvendo falhas em sistemas de proteção e controle. ......... 15
Figura 2 - Fases do ciclo de vida de segurança do SIS e estágios de avaliação
funcional de segurança. ............................................................................................ 23
Figura 3 – Nova planta Braskem de PVC. ................................................................. 33
Figura 4 – Maquete da planta de PVC. ..................................................................... 34
Figura 5 – Distribuição das malhas de intertravamento por nível de proteção
requerido. .................................................................................................................. 37
Figura 6 – Software utilizado para a realização dos cálculos de verificação de SIL.. 48
Figura 7 – Resultados da verificação da SIF-31-001. ............................................... 49
Figura 8 – Resultados da verificação da SIF-31-002. ............................................... 49
Figura 9 – Resultados da verificação da SIF-31-003. ............................................... 50
Figura 10 – Resultados da verificação da SIF-32-001. ............................................. 50
Figura 11 – Resultados da verificação da SIF-32-002. ............................................. 51
Figura 12 – Resultados da verificação da SIF-32-003/004. ...................................... 51
Figura 13 – Resultados da verificação da SIF-32-005. ............................................. 52
Figura 14 – Resultados da verificação da SIF-32-006. ............................................. 52
Figura 15 – Resultados da verificação da SIF-33-001. ............................................. 53
Figura 16 – Resultados da verificação da SIF-33-002. ............................................. 53
Figura 17 – Resultados da verificação da SIF-33-003. ............................................. 54
Figura 18 – Resultados da verificação da SIF-33-004. ............................................. 54
Figura 19 – Resultados da verificação da SIF-33-005. ............................................. 55
Figura 20 – Resultados da verificação das SIF-33-006/007. ..................................... 55
Figura 21 – Resultados da verificação da SIF-33-008. ............................................. 56
Figura 22 – Resultados da verificação da SIF-33-009. ............................................. 56
Figura 23 – Resultados da verificação da SIF-33-010. ............................................. 57
Figura 24 – Resultados da verificação da SIF-33-011. ............................................. 57
Figura 25 – Resultados da verificação da SIF-33-012. ............................................. 58
Figura 26 – Resultados da verificação da SIF-33-013. ............................................. 58
Figura 27 – Resultados da verificação da SIF-33-014. ............................................. 59
Figura 28 – Resultados da verificação das SIF-41-001/002/003. .............................. 59
Figura 29 – Resultados da verificação das SIF-41-004/005/006. .............................. 60
Figura 30 – Resultados da verificação da SIF-41-007. ............................................. 60
Figura 31 – Resultados da verificação da SIF-41-008. ............................................. 61
Figura 32 – Resultados da verificação da SIF-41-009. ............................................. 61
Figura 33 – Resultados da verificação das SIF-41-010/011/012. .............................. 62
Figura 34 – Resultados da verificação das SIF-41-013/014/015. .............................. 62
Figura 35 – Resultados da verificação das SIF-41-016/017/018. .............................. 63
Figura 36 – Resultados da verificação das SIF-41-019/020/021. .............................. 63
Figura 37 – Resultados da verificação das SIF-42-001/002. ..................................... 64
Figura 38 – Resultados da verificação das SIF-42-003. ............................................ 64
Figura 39 – Resultados da verificação das SIF-42-004. ............................................ 65
LISTA DE TABELAS
Tabela 1 – Nível de integridade de segurança: probabilidade de falha na
demanda.....................................................................................................................20
Tabela 2 – Visão geral do ciclo de vida de segurança do SIS. .................................20
Tabela 3 – Funções instrumentadas de segurança do projeto PVC Alagoas............37
LISTA DE ABREVIATURAS E SIGLAS
AD Annunciation detected – alarme detectado pelo diagnóstico.
AU Annunciation undetected – alarme não detectado pelo diagnóstico.
CCF Commom cause failures – falhas de causa comum.
DD Dangerous detected – falha perigosa detectada pelo diagnóstico.
DU Dangerous undetected – falha perigosa não detectada pelo
diagnóstico.
EUC Equipment under control – equipamento sob controle.
HFT Hardware fault tolerance – tolerância a falhas do equipamento.
IEC International electrotechnical commission – comissão eletrotécnica
internacional.
IHM Interface humano máquina.
IPL Independent protection layers – camadas de proteção
independentes.
MAC Main automation contractor – contrato de fornecimento global de
automação.
MTTR Mean time to repair – tempo médio para reparo.
PFDavg Probabilidade média de falha sob demanda (aplicado ao modo de
baixa demanda de falha).
PFH Probabilidade de falha perigosa por hora (aplicado aos modos
contínuo ou de alta demanda de falha).
PIU Proven in use – de uso comprovado para o SIL requerido.
PST Partial stroke test – teste de curso parcial.
RRF Risk reduction factor – fator de redução de risco.
SD Safe detected – falha segura detectada pelo diagnóstico.
SERH Safety equipment reliability databook - base de dados de
confiabilidade do equipamento de segurança.
SFF Safe failure fraction – fração de falha segura.
SIF Safety instrumented function – função instrumentada de
segurança.
SIL Safety integrity level – nível de integridade de segurança.
SILachieved Safety integrity level achieved – nível de integridade de segurança
alcançado, calculado na fase de verificação de SIL.
SILtarget Safety integrity level target – nível de Integridade de segurança
que se deseja atingir pela SIF para prevenir ou minimizar
determinado risco. É conhecido por SIL alvo ou SIL requerido,
calculado na fase de análise de risco conhecido como seleção ou
determinação de SIL.
SIS Safety instrumented system – sistema instrumentado de
segurança.
SRS Safety requirements specification – especificação dos requisitos de
segurança.
SU Safe undetected – falha segura não detectada pelo diagnóstico.
SUMÁRIO
CAP. 1 - Introdução ....................................................................................... 13
1.1 - A motivação ........................................................................................... 13
1.2 - A norma IEC 61511:2003 ...................................................................... 15
1.3 - O método de verificação ........................................................................ 15
1.4 - Estrutura do estudo de caso .................................................................. 16
CAP. 2 - Fundamentos Téoricos ................................................................... 17
2.1 - Apresentação da norma IEC 61511:2003.............................................. 17
2.2 - Objetivo da norma IEC 61511:2003 ...................................................... 18
2.3 - Etapas da norma IEC 61511:2003 ........................................................ 20
CAP. 3 - Revisão bibliográfica ....................................................................... 25
CAP. 4 - A Braskem e o projeto da Planta PVC 200 kt/ano ........................... 32
CAP. 5 - O projeto do SIS da Planta PVC Alagoas ....................................... 35
5.1 - Etapa de identificação dos riscos .......................................................... 35
5.1.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511 ............ 35
5.2 - Determinação do SIL requerido ............................................................. 35
5.2.1 - Padrão Normativo Braskem ............................................................ 35
5.2.2 - Determinação do SIL requerido ...................................................... 36
5.2.3 - Relação com o Ciclo de Vida de Segurança da IEC 61511 ............ 39
5.3 - Especificação de Requisitos de Segurança........................................... 39
5.3.1 - Elaboração do documento SRS ...................................................... 39
5.3.2 - Relação com o Ciclo de Vida de Segurança da IEC 61511 ............ 41
5.4 - Detalhamento das funções instrumentadas de segurança .................... 42
5.4.1- Considerações Iniciais ..................................................................... 42
5.4.2 - Detalhamento prático ...................................................................... 43
5.4.3 - Seleção de componentes para o projeto de funções instrumentadas
de segurança ..................................................................................................... 46
5.4.4 - Especificação da arquitetura ........................................................... 47
5.4.5 - Cálculo das funções instrumentadas de segurança ........................ 47
5.4.6 - Resultados dos cálculos das SIF .................................................... 48
5.4.7 - Relatório de verificação das SIF ..................................................... 65
5.4.8 - Relação com o Ciclo de Vida de Segurança da IEC 61511 ............ 65
5.5 - Teste de aceitação de fábrica e teste de aceitação de campo do sis .... 65
5.5.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511 .......... 66
5.6 - Validação das funções instrumentadas de segurança .......................... 66
5.6.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511 ............ 66
CAP. 6 - Resultados ...................................................................................... 67
6.1 - Fase Avaliação de perigo e risco ........................................................... 67
6.2 - Fase Atribuição das funções de proteção nas camadas de proteção ... 67
6.3 - Especificação dos Requisitos de Segurança do SIS ............................. 68
6.4 - Projeto e engenharia do SIS .................................................................. 68
6.5 - Comissionamento da instalação e validação do SIS ............................. 69
6.6 - Resultado geral do projeto de SIS da Planta de PVC alagoas .............. 70
CAP. 7 - Conclusão ....................................................................................... 71
Glossário
Anexo A – Exemplo de planilha de LOPA do projeto
Anexo B – Exemplo de verificação de SIF
13
CAP. 1 - INTRODUÇÃO
1.1 - A MOTIVAÇÃO
As questões de segurança de processo das instalações industriais se tornaram
mais evidentes com o aumento da preocupação com os aspectos relacionados às
ações que as empresas devem tomar para garantir que suas operações não
exponham um risco para a sociedade.
No caso específico da Braskem, empresa brasileira produtora de químicos
básicos, petroquímicos e combustíveis, estas questões são norteadas pela sua
atuação baseada em valores e princípios expressos em seu Compromisso Público,
divulgado em agosto de 2002. Eles incluem o comprometimento com a excelência
em suas práticas gerenciais e com a moderna governança corporativa, baseado no
desenvolvimento sustentável, na gestão responsável de seus negócios e na
transparência de suas ações, seus processos e indicadores financeiros e sociais.
Para transformar essas crenças em atitudes, assumiu diversos compromissos, os
quais estão expressos em sua política de Qualidade, Saúde, Segurança e Meio
Ambiente. Dentre eles, o compromisso de melhorar continuamente os seus
processos, produtos e serviços, estimulando a inovação e atendendo padrões legais
e voluntários é o que serve de motivador para o desenvolvimento deste trabalho.
Este compromisso está explícito em seu princípio 8 da política de Qualidade, Saúde,
Segurança e Meio Ambiente, onde é dito:
”Gerenciamos todos os riscos das nossas operações. Além dos programas de
prevenção e controle dos riscos, planos de mitigação são adequadamente
implementados. Programas de seguros são adquiridos sempre que existam riscos
de perdas acima das condições de absorção do negócio. Não produzimos,
manuseamos, usamos, vendemos, transportamos ou descartamos um produto a
menos que possamos fazê-lo de forma segura e com impacto mínimo ao meio
ambiente.”
14
Diante deste contexto, a especificação do modo de operação e dos
componentes para funções instrumentadas de segurança necessita ser analisado à
luz de padrões internacionais que apresentem as melhores práticas de engenharia,
sendo hoje o padrão mais utilizado a IEC 61511-1, 2 e 3:2003 - Functional safety -
Safety instrumented systems for the process industry sector. Estas avaliações
apresentam-se extremamente relevantes, conforme é demonstrado pelo histórico de
acidentes industriais, e.g. Three Mile Island (1979), Bhopal (1984), Chernobyl
(1986), Texas City (2005) e mais recentemente no Golfo do México (2010) e
Fukushima (2011). Apesar de algumas investigações ainda não estarem
completamente concluídas, é certo que houve falhas nos sistemas de proteção.
Conforme levantamento realizado pelo Health and Safety Executive (1995),
44% dos acidentes industriais devem-se a erros de especificação. Dentro deste
contexto, incluem-se desde o subdimensionamento do risco até o erro na
especificação da função instrumentada de segurança necessária para prevenir ou
mitigar o risco. Se acrescentarmos os erros provocados no projeto, implementação,
instalação e comissionamento, este percentual sobe para 64%. Estas questões são
citadas diversas vezes na literatura especializada disponível. Os estudiosos
destacam a importância da fase de identificação dos riscos envolvidos nos
processos industriais, assim como explicitam métodos de aplicação das técnicas de
análises de riscos para quantificação do nível de integridade de segurança (SIL)
necessário para mitigar e prevenir os riscos do processo industrial. Outro importante
aspecto que será abordado durante o estudo são as questões relacionadas aos
custos de projeto, as quais muitas vezes erroneamente são tratadas de maneira
superficial e equivocadas. A Figura 1 a seguir demonstra o levantamento da HSE.
15
Figura 1 – Acidentes envolvendo falhas em sistemas de proteção e controle.
Fonte: Health and Safety Executive
Sendo assim, o estudo se justifica na medida da sua contribuição para a
melhoria da aplicação da referida norma em projetos de sistemas instrumentados de
segurança (SIS).
1.2 - A NORMA IEC 61511:2003
Nesta norma internacional são definidos os parâmetros para que seja
estabelecido o nível de integridade de segurança (SIL) para cada função
instrumentada de segurança (SIF), assim como são tratados aspectos relevantes
sobre as especificações de componentes de acordo com as suas taxas de falhas e
sobre normas construtivas para garantir a confiabilidade da função de segurança e
de todo o sistema.
1.3 - O MÉTODO DE VERIFICAÇÃO
Neste estudo de caso é analisado e avaliado qualitativamente como a Braskem
S.A. utilizou o ciclo de vida de segurança estabelecido pela norma IEC 61511:2003
para projetar o sistema instrumentado de segurança (SIS) da nova planta de PVC
em Alagoas.
O estudo será iniciado com o levantamento de dados a partir do acesso a
documentação emitida pelo projeto, a saber:
• Relatório de análise de risco com as diversas técnicas explicitadas;
16
• Especificação de requisitos de segurança (este documento traz todas as
informações necessárias para a especificação das funções
instrumentadas de segurança);
• Memória de cálculo das funções instrumentadas de segurança (este
documento explicita como as funções instrumentadas de segurança
foram projetadas e demonstra os cálculos utilizados).
A documentação do projeto será então confrontada com as várias etapas do
ciclo de vida de segurança estabelecido pela norma IEC 61511:2003, onde será
avaliada qualitativamente sua aderência aos requerimentos dispostos.
1.4 - ESTRUTURA DO ESTUDO DE CASO
No capítulo 2 é apresentado o fundamento teórico deste trabalho, ou seja, a
norma IEC 61511:2003, seus requerimentos e suas etapas detalhadas. O envelope
deste estudo de caso é demonstrado frente a todos os requerimentos da norma.
No capítulo 3 é mostrada a revisão bibliográfica, onde são apontados os vários
estudos realizados para o desenvolvimento do trabalho, com suas devidas citações
pertinentes.
No capítulo 4 é apresentado um breve resumo do projeto da planta de PVC da
Braskem em Alagoas.
No capítulo 5 são apresentadas as entregas do projeto e sua relação com os
aspectos da norma de referência.
No capítulo 6 são apresentados os resultados da verificação da aderência das
entregas do projeto com os aspectos da norma de referência.
No capítulo 7 é apresentada a conclusão do estudo com suas recomendações.
Após este capítulo, são apresentados as referências bibliográficas e os anexos.
17
CAP. 2 - FUNDAMENTOS TEÓRICOS
2.1 - APRESENTAÇÃO DA NORMA IEC 61511:2003
Os sistemas instrumentados de segurança têm sido utilizados há vários anos
para realizar funções instrumentadas de segurança nas indústrias de processo. Se
alguma instrumentação for efetivamente utilizada para desempenhar funções
instrumentadas de segurança, é essencial que esta instrumentação apresente
determinados padrões e níveis de desempenho mínimos.
Para o desenvolvimento da especificação dos sistemas instrumentados de
segurança também é necessária a avaliação de risco e perigos do processo. Outros
sistemas de segurança são considerados apenas quando influenciam nos requisitos
de desempenho dos sistemas instrumentados de segurança. Adicionalmente, a
mesma contém dois conceitos que são fundamentais para a sua aplicação: o ciclo
de vida da segurança e o nível de integridade de segurança.
O sistema de instrumentado de segurança inclui todos os componentes e
subsistemas necessários para executar a função instrumentada de segurança,
desde os sensores até os elementos finais. A norma se aplica a sistemas
instrumentados de segurança baseados no uso de tecnologia elétrica, eletrônica e
eletrônica programável, assim como também se aplica a sensores e elementos finais
de sistemas instrumentados de segurança independentemente da tecnologia
utilizada.
A norma é específica para a indústria de processo dentro da estrutura criada
pela norma IEC 61508 e estabelece uma abordagem para as atividades do ciclo de
vida da segurança de maneira a atingir padrões mínimos.
Para facilitar esta abordagem, a norma IEC 61511:2003:
• requer que a avaliação de riscos e perigos identifique os requisitos de
segurança como um todo;
• requer a atribuição de requisitos de segurança aos sistemas instrumentados
de segurança;
• detalha atividades específicas, tais como o gerenciamento da segurança, que
sejam aplicáveis à obtenção da segurança funcional.
18
Resumindo, esta norma de sistemas instrumentados de segurança aplicada à
indústria de processo aborda todas as fases do ciclo de vida de segurança, desde a
concepção inicial, projeto, implementação, operação e manutenção até a
desativação.
2.2 - OBJETIVO DA NORMA IEC 61511:2003
Esta norma foi desenvolvida para facilitar a implementação da norma IEC
61508 para o setor de processo e tem o propósito de elevar o nível de consistência
dentro da indústria de processo (por exemplo, pelos princípios que a norteiam,
terminologia, informação) e com isto proporcionar benefícios de segurança e
econômicos. Também fornece os requisitos para especificação, projeto, instalação,
operação e manutenção de um sistema instrumentado de segurança de modo que
seja confiavelmente garantido que este sistema coloque e/ou mantenha o processo
em um estado seguro.
Esta norma, em particular:
a) especifica os requisitos para se atingir a segurança funcional, mas não
especifica quem é responsável por implementar os requisitos (por exemplo,
engenharia, fornecedores, companhia operadora/proprietária, empreiteira). A
responsabilidade deve ser atribuída a diferentes entidades de acordo com o
planejamento de segurança e com a regulamentação nacional;
b) aplica-se a uma ampla variedade de indústrias no setor de processo,
incluindo indústria química, refino de petróleo, produção de óleo e gás, papel
e celulose, geração de energia não-nuclear;
c) delineia a relação entre funções instrumentadas de segurança e outras
funções;
d) resulta na identificação dos requisitos funcionais e requisitos de integridade
de segurança da(s) função (ões) instrumentada(s) de segurança levando em
consideração a redução de risco obtida por outros meios;
e) especifica os requisitos para arquitetura do sistema e configuração de
hardware, software e integração do sistema;
f) pode ser aplicada a aplicações não voltadas à segurança, como proteção de
ativos;
19
g) usa o ciclo de vida de segurança e define uma lista de atividades que são
necessárias para se determinar os requisitos funcionais e os requisitos de
integridade de segurança para o sistema instrumentado de segurança;
h) requer que seja realizada a avaliação de riscos e perigos para que se possa
definir os requisitos funcionais de segurança e níveis de integridade de
segurança para cada função instrumentada de segurança;
i) estabelece objetivos numéricos para a probabilidade média de falha sob
demanda e frequência de falhas perigosas por hora para os níveis de
integridade de segurança;
j) especifica requisitos mínimos para tolerância a falha do hardware;
k) especifica técnicas e medidas exigidas para se atingir níveis de integridade
especificados;
l) define um nível máximo de desempenho (SIL 4) que pode ser atingido por
uma função instrumentada de segurança que foi implementada segundo a
norma;
m) define um nível mínimo de desempenho (SIL 1) abaixo do qual esta norma
não se aplica;
n) fornece uma estrutura para estabelecer níveis de integridade de segurança,
mas não determina o nível de integridade de segurança que uma aplicação
específica deve ter, o qual deve ser estabelecido com base no conhecimento
da aplicação particular;
o) especifica requisitos para todas as partes do sistema instrumentado de
segurança, desde o(s) sensor (es) até o(s) elemento(s) final (ais);
p) define a informação que é necessária durante o ciclo de vida de segurança.
Para cada função instrumentada de segurança operando no modo de
demanda, o SIL requerido deve ser especificado de acordo com a Tabela 1
20
Tabela 1 – Nível de integridade de segurança: probabilidade de falha na
demanda.
MODO DE DEMANDA DE OPERAÇÃO
Nível de integridade de segurança (SIL)
Objetivo médio de probabilidade de falha na
demanda
Objetivo de redução de risco
4 ≥10-5 a <10-4 >10,000 a ≤100,000
3 ≥10-4 a <10-3 >1000 a ≤10,000
2 ≥10-3 a <10-2 >100 a ≤1000
1 ≥10-2 a <10-1 >10 a ≤100
Fonte: IEC 61511:2003.
2.3 - ETAPAS DA NORMA IEC 61511:2003
Cada fase do ciclo de vida de segurança deve ser definida em termos de suas
entradas, saídas e atividades de verificação, conforme demonstrado na Tabela 2 e
na figura 2 a seguir.
Tabela 2 – Visão geral do ciclo de vida de segurança do SIS.
Atividade ou fase do ciclo de vida de
segurança
Objetivos
Requisitos
Cláusula ou subcláusula
da
IEC 61511
Entradas
Saídas
Número da caixa
da Figura 1
Título
1 Avaliação de perigo e risco
Determinar os perigos e eventos perigosos do processo e dos equipamentos associados, a sequência dos acontecimentos que levaram a eventos perigosos, os riscos de processos associados com o evento perigoso, os requisitos para a redução de risco e as funções de segurança necessárias para atingir a redução de risco necessária
8 Projeto do Processo,
layout, disposições gerais,
objetivos de segurança
Descrição dos perigos, as funções de segurança requeridas e a redução de risco associada.
21
2 Atribuição das funções de proteção nas camadas de proteção
Atribuição das funções de proteção nas camadas de proteção e o nível de integridade de segurança associado a cada função instrumentada de segurança.
9 Uma descrição da função instrumentada de segurança requerida e seus requisitos integridade de segurança associados.
Descrição da atribuição dos requisitos de segurança (ver Cláusula 9)
3 Especifica- ção dos Requisitos de Segurança do SIS
Especificar os requisitos para cada SIS, em termos das funções instrumentadas de segurança e suas integridades de segurança associadas, para atingir a segurança funcional necessária
10 Descrição da atribuição dos requisitos de segurança (ver cláusula 9)
Requisitos de segurança do SIS; requisitos de segurança de software
4 Projeto e engenharia do SIS
Projetar o SIS para satisfazer os requisitos das funções instrumentadas de segurança e da integridade de segurança
11 e 12.4 Requisitos de segurança do SIS; requisitos de segurança de software
Projeto do SIS de acordo com os requisitos de segurança do SIS; planejamento para teste de integração do SIS
5 Comissio-namento da instalação e validação do SIS
Integrar e testar o SIS
Validar que o SIS atende em todos os aspectos os requisitos para segurança nos termos das funções instrumentadas de segurança requeridas e da integridade de segurança
12.3, 14, 15 Projeto do SIS
Plano de teste de integração do SIS
Requisitos de segurança do SIS
Plano pra validação de segurança do SIS
Funcionamento completo do SIS de acordo com o projeto do SIS
Resultados dos testes de integração do SIS
Resultados da instalação, comissionamento e atividades da validação
22
6 Operação e manutenção do SIS
Garantir que a segurança funcional do SIS é mantida durante a operação e manutenção
16 Requisitos do SIS
Projeto do SIS
Plano para operação e manutenção do SIS
Resultados das atividades de operação e manutenção
7 Modificação do SIS
Realizar correções, melhorias ou adaptações do SIS, garantindo que o nível de integridade de segurança exigido seja alcançado e mantido
17 Requisitos de segurança do SIS revisados
Resultados da modificação do SIS
8 Desativação
Garantir revisão adequada, organização do setor, e garantir que a FIS continue apropriada
18 Requisitos de segurança conforme construído e informação do processo
SIF retirada de serviço
9 Verificação do SIS
Testar e avaliar os resultados de uma determinada fase para garantir a exatidão e consistência no que diz respeito aos produtos e padrões fornecidos como entrada para esta fase
7, 12.7 Plano de verificação do SIS para cada fase
Resultados da verificação do SIS para cada fase
10 Auditoria de segurança funcional do SIS
Investigar e obter um julgamento sobre a segurança funcional alcançada pelo SIS
5 Planejamento para auditoria de segurança funcional do SIS
Requisitos de segurança do SIS
Resultados da auditoria de segurança funcional do SIS
Fonte: IEC 61511:2003.
23
Figura 2 - Fases do ciclo de vida de segurança do SIS e estágios de avaliação
funcional de segurança.
Fonte: IEC 61511:2003.
As fases do ciclo de vida de segurança da IEC 61511:2003 que serão
analisadas neste estudo de caso são:
1 - Avaliação de perigo e risco.
2 - Atribuição das funções de proteção nas camadas de proteção.
3 - Especificação dos Requisitos de Segurança do SIS.
4 - Projeto e engenharia do SIS.
5 -Comissionamento da instalação e validação do SIS.
24
As demais etapas do ciclo de vida de segurança que não foram avaliadas
fazem parte das fases pós-projeto do SIS, i.e. operação e manutenção. Outras
etapas tratam da avaliação histórica do SIS, validando se cada SIF consegue atingir
o objetivo de mitigação e prevenção dos riscos a quais estão associadas.
25
CAP. 3 - REVISÃO BIBLIOGRÁFICA
Além da norma de referência, existe disponível uma ampla literatura
especializada elaborada por profissionais reconhecidos no meio de segurança de
processo. Dentre a literatura abundante sobre o assunto, citamos 3 livros de
referência que obrigatoriamente tem que ser estudados pelos interessados no
assunto. São eles:
Goble e Cheddie (2005) explica claramente como utilizar cálculos
probabilísticos para realizar a verificação de SIL para sistemas de segurança.
Começando com uma descrição do ciclo de vida de segurança, os autores mostram
onde e como a verificação de SIL se encaixa nas principais atividades do projeto
conceitual até o comissionamento.
Grunh e Cheddie (2006) ensina a prática de como realizar análises, projeto,
aplicação e instalação de SIS. Este autor recomenda sua utilização por engenheiros
de sistemas de controle nas indústrias de processo, que são responsáveis pelo
projeto, instalação e manutenção de sistemas instrumentados de segurança.
CCPS (2001) fala do método simplificado de avaliação de riscos de segurança
de processo por meio da análise de camadas de proteção (LOPA), a qual fornece
um meio termo entre a análise qualitativa tradicional e a geralmente dispendiosa
análise de risco quantitativa. Também fornece uma excelente abordagem para
determinar o nível de integridade de segurança necessário para um SIS, conforme
preconizada pela IEC 61511:2003.
Além destes 3 livros de referência também foram avaliados diversos artigos
técnicos disponíveis, onde foram levantadas algumas considerações interessantes.
26
Summers (2006) exemplifica que muitas empresas já têm aplicado o processo
da IEC 61511 para outros sistemas instrumentados com benefício econômico
significativo, especialmente quando aplicado a sistemas de proteção de ativos.
Sistemas de gerenciamento de proteção fazem sentido como boas práticas de
engenharia, porque eles são a forma mais eficaz de conseguir resultados previsíveis
e consistentes para a unidade de processo. Um sistema de gestão efetivo utiliza
uma abordagem sistemática para gerenciar o ciclo de vida inteiro da camada de
proteção. A maioria das empresas tem políticas e procedimentos já existentes para
muitas das fases do ciclo de vida. A finalidade do sistema global consiste em
amarrar todos essas políticas e procedimentos em um programa abrangente que
agiliza os processos e elimina a duplicação de esforço.
Summers (2009) informa que os líderes do setor reconhecem que o
investimento em recursos e equipamentos de segurança para evitar incidentes de
processo é essencial para se atingir um menor custo do ciclo de vida. Sem cuidados
e atenção, invariavelmente incidentes acontecem quando as condições erradas
ocorrem no momento errado. Todos os envolvidos devem perceber que a gestão de
risco de segurança é uma parte inerente do processo de concepção e operação e
que a demonstração de operação segura deve ser necessária para a licença
operacional.
Timms (2003) lembra que a interpretação prática da norma tem sido percebida
como difícil. Mas, com a orientação e formação adequadas, os engenheiros logo se
tornam confortáveis com a metodologia e o conceito de ciclo de vida simplesmente
passam a equivaler ao senso comum.
27
Rouvroye e Brombacher (1999) concluem de resultados de cálculos que
técnicas de análise de confiabilidade diferentes podem conduzir a SIL diferentes,
mesmo quando se usa o mesmo conjunto de dados. O valor mais baixo para a
probabilidade de falha por demanda para modelos de Markov é dá-se pelo fato de
que, em geral, em um modelo de Markov todos os estados do sistema (incluindo os
chamados estados seguros) são levados em consideração. Isto significa que haverá
uma certa probabilidade de que o sistema está em um estado de segurança e,
assim, não pode estar em um estado perigoso. Isso resulta em uma menor
contribuição para a probabilidade de falha em demanda. Este aspecto não pode ser
coberto pela maioria das outras técnicas de análise, porque estas técnicas só podem
lidar com um modo de falha do sistema de cada vez.
Guo e Yang (2007) defende que o método de diagrama de blocos de
confiabilidade (RBD) pode ser aplicado para a verificação quantitativa de SIL,
enfatizando que modelos RBD são intuitivos e fáceis de criar, semelhante ao método
avaliado pela IEC 61508-6. Neste artigo em particular não concordamos com os
autores, lembrando que os métodos quantitativos propostos pela IEC 61511, i.e.
modelos Markov, determinam resultados mais robustos e confiáveis. Langeron
(2008) mostra que o método baseado em ambas as regras de mesclagem em séries
e paralelas sugerida pelo padrão IEC 61508:2010 é realmente fácil de aplicar, mas
ainda não se encontram com uma abordagem robusta. Os valores esperados de SIL
padrão são, em alguns casos, maiores do que os resultados obtidos a partir do
método Markov.
28
Green e Dowell (2005) reforçam que redundância pode fornecer proteção
contra falhas ocultas ou fornecer tolerância a falhas para as falhas reveladas. Falhas
de causa comum (CCF) podem ser provocadas por um componente não-redundante
único ou por erros sistemáticos em componentes redundantes. Cita os métodos
existentes que podem ser utilizados para a análise quantitativa de uma emergência
ou a probabilidade de sucesso ou fracasso do SIS. Análise de árvore de falhas
(FTA), análise de árvore de eventos (ETA), diagrama de bloco de confiabilidade
(RBD), modelos de markov, tempo morto fracionário (FDT) e simulação de Monte
Carlo, por exemplo, podem ser usados para estimar a probabilidade de falha de um
SIS para executar sua função de proteção em face de uma demanda. Reforça o
aspecto que a lógica é de diversas ordens de magnitude mais confiável do que os
elementos de campo. Conclui que os elementos de campo determinam a
confiabilidade do sistema, e não o agente de resolução da lógica ou a tecnologia do
logic solver. Explica que aumentar a redundância do sistema aumenta a integridade
do sistema, mas CCF limitam de forma significativa a redução da probabilidade de
falha além de SIL 2. Conclui que aumentando a diversidade reduz-se o CCF e
permite maior confiabilidade do sistema do que seria possível com redundância
idêntica. Summers e Raney (1999) aponta que, infelizmente, há uma grande
discordância entre os especialistas sobre como definir CCF e que eventos
específicos compreendem um CCF. Cita como exemplos de causas de falhas
comuns: erro de calibração ou nenhuma calibração dos sensores, entupimento de
tomadas de processo comuns, manutenção incorreta ou nenhuma manutenção, by-
pass indevido, estresse ambiental sobre o dispositivo de campo, fluido do processo
ou contaminantes bloqueando válvulas.
29
Gruhn (1998) defende a utilização de partial stroke test (PST) em SIS, citando
que as outras opções são a parada da planta em uma base não regular para testar
as válvulas ou conceber o sistema de tal modo que não seja necessário parar a
planta a fim de testar as válvulas. A primeira opção, embora possível, não é
simplesmente viável para unidades de produtos de petroquímicos em grande escala,
onde os problemas econômicos inerentes de uma parada de tais plantas são
proibitivos. A outra opção então seria instalar válvulas redundantes, as quais podem
aumentar a ordem de magnitude da segurança, sendo esta a opção tradicionalmente
realizada em aplicações com válvulas de alto risco. A desvantagem óbvia, no
entanto, é o custo. Não só o custo de capital para as válvulas dobra, mas o trabalho
de manutenção de teste aumenta, visto que que existem agora duas vezes mais
válvulas que precisam ser testadas periodicamente. Lundteigen e Rausand (2008)
tratam do aumento da confiabilidade que é adquirida através da introdução de PST,
o qual pode ser utilizado para melhorar a segurança e/ou para reduzir o custo. A
segurança é melhorada se o PST é adicionado sem alterar o intervalo entre os
testes periódicos funcionais. O custo é reduzido se a confiabilidade obtida é
prolongada o intervalo de teste funcional.
Hokstad e Corneliussen (2004) explicam muito bem as diferenças entre falhas
randômicas e falhas sistemáticas e chama a atenção para a utilização de fatores
beta diferentes para arquiteturas diferentes. Lembra que na IEC 61508, o parâmetro
PFD é usado para quantificar a perda de segurança devido a falhas randômicas. O
fator beta padrão, como sugerido na IEC 61508, não permite uma comparação
adequada somente ao dizer que diferentes votações 1oo2, 1oo3 ou 2oo3 são
utilizadas. Defende que este modelo normalmente não deve ser aplicado, a menos
que uma análise mais rigorosa seja realizada.
30
Jin, Lundteigen e Rausand (2011) mostram que as características de
confiabilidade de um SIS de alta demanda e um SIS de baixa demanda são
diferentes. O artigo conclui que sistemas de baixa demanda são homogêneos e
podem ser tratados como um grupo separado. O mesmo se aplica para sistemas de
alta demanda. No entanto, não há distinção clara entre os dois grupos e existe um
grupo significativo que pode ser classificado como sistemas de média demanda.
Explora o fato de que quando existem vários componentes de segurança ou muitos
estados em um SIS muito grande (com grande quantidade de pontos e cenários), a
abordagem de Markov pode levar a cálculos intratáveis. Neste caso, recomenda que
uma abordagem de rede de Petri pode ser uma alternativa melhor, a qual também
deverá será indicada na próxima revisão da norma IEC 61508. Em artigo posterior,
Liu e Rausand (2011) discute uma série de questões importantes relacionadas com
o desempenho de confiabilidade da modelagem de quantificação do SIS, tanto para
baixa demanda quanto para alta demanda. Questões como a duração da demanda e
verificação de funcionalidade testes funcionais, respostas bem sucedidas a
demandas e ativação espúrias são destacados. A fronteira entre baixa demanda e
alta demanda do modo de operação também é discutida.
Em Lundteigen e Rausand (2008) cita-se que operação e manutenção de
procedimentos, ferramentas e processos de trabalho, procedimentos de concepção,
implementação e instalação, competência e treinamento, e exposição ambiental
podem influenciar a probabilidade de falhas sistemática. Lembra que há outras
causas para paradas espúrias, e.g. a perda de serviços públicos de hidráulica,
pneumática ou energia. A perda de utilidades também pode levar diretamente a
paradas espúrias se a SIF é projetada para falhas seguras (que é a situação típica
em instalações de petroléo e gás).
31
Lundteigen e Rausand (2009) considera que a fração de falha segura (SFF)
não é um indicador suficiente das propriedades de confiabilidade de um componente
do SIS. Dois componentes com a mesma SFF podem ter características bastante
diferentes no que diz respeito à taxa de operações espúrias, taxa de falhas
perigosas e cobertura de diagnóstico. Uma SFF alta nem sempre indica um
componente seguro, da mesma forma que um SFF baixo nem sempre é sinônimo de
um componente inseguro. Uma SFF pode dar crédito para projetos inseguros, bem
como punir projetos com a segurança adequada. Como um acréscimo às restrições
de arquitetura, acredita que mais atenção deve ser dada para a construção de
modelos de funcionalidade, e de sistemas e análises funcionais nas quais os
modelos se baseiam. Com recursos mais complexos dos componentes do SIS é
importante para a análise o funcionamento de cada componente, em vez de se
assumir previamente um certo comportamento, e também levar em conta todas suas
interações.
32
CAP. 4 - A BRASKEM E O PROJETO DA PLANTA PVC 200
KT/ANO
Formada em 2002 a partir da fusão de seis empresas brasileiras, a Braskem
possui uma trajetória crescente no setor químico e petroquímico. Por meio de seus
escritórios nas Américas, Europa e Ásia, a Braskem atua em parceria com clientes
em mais de 70 países do mundo, firmando-se como um importante player global no
mercado de resinas termoplásticas (polipropileno, polietileno e PVC) e produtos
químicos. Ao todo, são 16 milhões de toneladas de produtos fabricados em 35
unidades industriais instaladas no Brasil, nos Estados Unidos e na Alemanha. A
filosofia da Braskem é desenvolver parcerias de sucesso e agregar valor e
competitividade ao negócio do cliente, por meio de um atendimento personalizado e
da oferta de produtos com qualidade certificada, além de serviços como assistência
técnica pré e pós-venda, logística diferenciada e estrutura para testes e
desenvolvimentos de produtos específicos.
A Braskem iniciou o projeto de construção das unidades de MVC/PVC de 200
kt/ano visando atender às demandas do mercado nacional e internacional. As
unidades localizam-se no pólo multifabril José Aprígio Brandão Vilela em Marechal
Deodoro – Alagoas. Com esta nova planta, Alagoas passou a ser o maior produtor
de PVC das Américas. A fábrica representa o maior investimento da Braskem no
país, em torno de R$ 1bilhão.
A resina de PVC é matéria-prima utilizada principalmente em obras de
saneamento e infraestrutura como tubos, conexões, portas, janelas, esquadrias e
telhas, entre outros produtos. A resina também está presente em brinquedos,
calçados, móveis, produtos médicos, na indústria automobilística e na alimentícia.
A nova planta consiste de uma unidade de MVC e outra de PVC, e tem
capacidade produtiva de 200 mil toneladas anuais, tornando Alagoas o maior
produtor de PVC da América Latina e contribuindo para o fortalecimento do pólo de
transformação dessa resina já existente no estado. A figura 3 mostra parcialmente a
nova planta de PVC em Alagoas.
33
Figura 3 – Nova planta Braskem de PVC.
A tecnologia empregada foi adquirida da Ineos, envolvendo processos de
oxicloração do eteno, purificação, craqueamento, polimerização e recuperação do
MVC, secagem, silagem e ensacamento do PVC.
A Ineos é uma empresa privada química multinacional com sede em Rolle,
Suíça. É a terceira maior empresa de produtos químicos do mundo e a maior
empresa privada do Reino Unido.
A empresa de engenharia Genpro foi contratada para executar o projeto de
detalhamento. Neste projeto foram utilizadas diversas técnicas avançadas de
projetos, entre elas sua elaboração em maquetes 3D, conforme demonstrado na
figura 4.
34
Figura 4 – Maquete da planta de PVC.
35
CAP. 5 - O PROJETO DO SIS DA PLANTA PVC ALAGOAS
5.1 - ETAPA DE IDENTIFICAÇÃO DOS RISCOS
Na etapa do projeto conceitual e durante o projeto básico, foi realizado o
Estudo de Perigos e Operabilidade (Hazop) para avaliar os riscos do processo. A
técnica denominada Hazop visa identificar os perigos e os problemas de
operabilidade de uma instalação de processo. Este método é baseado em um
procedimento que gera perguntas de maneira estruturada e sistemática através do
uso apropriado de um conjunto de palavras-guia. O principal objetivo de um Hazop é
investigar de forma minuciosa e metódica cada segmento de um processo, visando
descobrir todos os possíveis desvios das condições normais de operação,
identificando as causas responsáveis por tais desvios e as respectivas
consequências. Uma vez verificadas as causas e as consequências de cada tipo de
desvio, o método procura propor medidas para eliminar ou controlar o perigo ou
ainda para sanar o problema de operabilidade da instalação.
O estudo de Hazop foi realizado pela equipe de processo Braskem em conjunto
com a empresa detentora da tecnologia Ineos, utilizando os critérios de
aceitabilidade dispostos na norma Braskem PR-0603-00021 - Análise e
Gerenciamento de Impactos e Riscos de Processos e Serviços.
5.1.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511
Esta etapa da identificação de riscos está relacionada com a Clause 8 Process
Hazard and Risk Assessment como parte integrante da documentação
comprobatória do Safety life-cycle structure and planning.
5.2 - DETERMINAÇÃO DO SIL REQUERIDO
Nesta etapa, além das equipes de processo, instrumentação e automação da
Braskem, utilizou-se o apoio técnico das empresas DNV (Det Norske Veritas) e
exida.
5.2.1 - Padrão Normativo Braskem
A norma Braskem PR-0603-00021 - Análise e Gerenciamento de Impactos e
Riscos de Processos e Serviços prevê 2 métodos de análise que podem ser usados
para determinação de SIL. São eles:
36
Análise de Camadas de Proteção (LOPA), conforme previsto no Anexo F da
IEC 61511-3; e Gráfico de Risco Calibrado, conforme previsto no Anexo D da IEC
61511-3.
5.2.2 - Determinação do SIL requerido
Após definidos os intertravamentos, realizou-se as análises de risco
complementares para definição do nível de integridade de segurança (SIL) requerido
para cada intertravamento. Ambos os métodos foram utilizados: análise de camadas
de proteção (layer of protection analysis – LOPA) e o gráfico de risco calibrado. Foi
utilizado o software ORBIT SIL, desenvolvido pela DNV Energy Solutions, quando da
aplicação do gráfico de risco calibrado.
A aplicação do gráfico de risco calibrado pelo grupo de trabalho teve como
ponto inicial a definição dos EUCs (Equipment Under Control), ou seja, os
equipamentos aos quais estão associadas às funções instrumentadas de segurança
(SIF) nos trechos inicialmente propostos.
De acordo com a premissa adotada, foi também objetivo deste estudo a análise
de LOPA (Layer of Protection Analysis) para a definição do SIL das SIF, quando esta
metodologia seja a melhor aplicação a ser feita. A análise de LOPA é feita através
da quantificação da frequência de ocorrência e da probabilidade de atuação de
todas as camadas de proteção identificadas no sistema. Entre os objetivos principais
para a utilização do LOPA está a possibilidade de responder a questões relativas ao
número e eficiência das salvaguardas existentes, através de uma abordagem
sistemática. Questões de subjetividade de classificação de cenários a que as
técnicas qualitativas estão sujeitas são minimizadas nesta técnica.
37
Figura 5 – Distribuição das malhas de intertravamento por nível de proteção
requerido.
Os critérios e metodologia utilizados neste estudo seguiram o Anexo 9 (Nível de
Integridade de Segurança (SIL)) e o Anexo 10 (Análise de Camadas de Proteção
(LOPA)) do PR-0603-00021 (Análise e Gerenciamento de Impactos e Riscos de
Processos e Serviços). As reuniões ocorreram nas instalações da Braskem com a
participação de profissionais da DNV e BRASKEM. As malhas de intertravamentos
que atingiram ao menos SIL 1 foram nomeadas funções instrumentadas de
segurança e seu projeto definido através dos requisitos da IEC 61511:2003.
As SIF definidas com o SIL requerido para o projeto estão descritas na Tabela
3.
Tabela 3 – Funções instrumentadas de segurança do projeto PVC Alagoas.
Tag SIF Serviço SIL requerido
SIF-31-001 Pressão Muito Alta no D-103 1
SIF-31-002 Vazão Muito Baixa de recirculação na P-253A/B. 2
SIF-31-003 Temperatura Muito Alta na linha de fundo da Torre T-253 1
SIF-32-001 Proteção contra mistura explosiva alimentação para F-3201 1
SIF-32-002 Pressão Muito Baixa na alimentação da fornalha D-201 2
SIF-32-003 Vazão Muito Baixa do 1o passo da alimentação da fornalha D-201 2
SIF-32-004 Vazão Muito Baixa do 2o passo da alimentação da fornalha D-201 2
SIF-32-005 Temperatura Muito Alta na linha de saída da fornalha F-201 1
SIF-32-006 Pressão Muito Alta na descarga da B-3244 1
38
SIF-33-001 Proteção contra falta de HC 1
SIF-33-002 Proteção para parada segura falha do PLC C-301 2
SIF-33-003 Proteção contra mistura explosiva R-301 e R-302 3
SIF-33-004 Proteção contra fluxo reverso de etileno para a linha de oxigênio 2
SIF-33-005 Proteção contra mistura explosiva sistema de oxicloração 2
SIF-33-006 Proteção contra Temperatura muito alta nos Reatores R-301 1
SIF-33-007 Proteção contra Temperatura muito alta nos Reatores R-302 1
SIF-33-008 Proteção contra falta de N2 para purga nos MX301 e MX302 1
SIF-33-009 Proteção em caso de purga ineficiente parada do C-301 1
SIF-33-010 Retorno de HCl e Etileno para a linha de O2 1
SIF-33-011 Retorno de HCl e Etileno para a linha de O2 1
SIF-33-012 Retorno de HCl e Etileno para a linha de O2 1
SIF-33-013 Pressão Muito Alta no T-304 ou D-304 1
SIF-33-014 Nível Muito Baixo na T-305 1
SIF-41-001 Proteção contra Pressão Muito Alta no Vaso de Blow Down 1
SIF-41-002 Proteção contra Pressão Muito Alta no Vaso de Blow Down 1
SIF-41-003 Proteção contra Pressão Muito Alta no Vaso de Blow Down 2
SIF-41-004 Proteção contra Vazamento de MVC/PVC do Reator R-4101A 2
SIF-41-005 Proteção contra Vazamento de MVC/PVC do Reator R-4101B 2
SIF-41-006 Proteção contra Vazamento de MVC/PVC do Reator R-4101C 1
SIF-41-007 Proteção contra liberação de MVC para a atmosfera 1
SIF-41-008 Proteção contra entrada de oxigênio para os compressores 1
SIF-41-009 Proteção contra liberação de PVC (lama) e MVC 2
SIF-41-010 Parada do agitador R301A 2
SIF-41-011 Parada do agitador R301B 2
SIF-41-012 Parada do agitador R301C 2
SIF-41-013 Falha do Sistema Primário de Inibição R301A 2
SIF-41-014 Falha do Sistema Primário de Inibição R301B 2
39
SIF-41-015 Falha do Sistema Primário de Inibição R301C 2
SIF-41-016 Pressão muito alta no Reator R301A 2
SIF-41-017 Pressão muito alta no Reator R301B 2
SIF-41-018 Pressão muito alta no Reator R301C 2
SIF-41-019 Temperatura muito alta no Reator R301A 2
SIF-41-020 Temperatura muito alta no Reator R301B 2
SIF-41-021 Temperatura muito alta no Reator R301C 1
SIF-42-001 Temperatura alta na descarga da bomba P402A 1
SIF-42-002 Temperatura alta na descarga da bomba P410A 1
SIF-42-003 Nível muito alto no V405 1
SIF-42-004 Concentração de oxigênio na alimentação de MVC gás para E403 1
5.2.3 - Relação com o Ciclo de Vida de Segurança da IEC 61511
Esta etapa da determinação do SIL está relacionada com a Clause 9 Allocation
of safety functions to protection layers como parte integrante da documentação
comprobatória do Safety life-cycle structure and planning.
5.3 - ESPECIFICAÇÃO DE REQUISITOS DE SEGURANÇA
Os requisitos de segurança devem derivar da alocação das funções
instrumentadas de segurança. Tais requisitos do SIS devem ser expressos e
estruturados de maneira que sejam:
• claros, precisos, auditáveis, mantidos e factíveis; e
• escritos de maneira a ajudar a compreensão daqueles que são prováveis
de utilizar a informação em qualquer fase do ciclo de vida.
5.3.1 - Elaboração do documento SRS
Com as determinações de SIL estabelecidas pela equipe de processo
participantes do projeto e o relatório conclusivo emitido, a etapa de elaboração da
especificação dos requisitos de segurança pôde ser iniciada. Para este projeto foi
contratada a consultoria da empresa exida para elaboração do documento.
40
Na Braskem, a emissão deste documento para os projetos é de
responsabilidade da disciplina de Automação. Este fato deve-se às diversas
informações relevantes que necessitam ser verificadas para que o projeto de
automação esteja consistente com o requerido pelo processo. Paralelamente, o
projeto de automação começa a ser desenvolvido para atender os mesmos
requisitos. É importante que as equipes de produção e manutenção da planta
também ratifiquem alguns parâmetros importantes para os cálculos, tais como tempo
de partida, intervalo entre testes funcionais e MTTR para os componentes das SIF.
As seguintes informações foram inseridas e tabuladas para gerar a
especificação das funções instrumentadas de segurança:
1) Tag de engenharia;
2) Tag do relatório;
3) Tag do sistema;
4) P&ID relacionado;
5) Datasheets do processo;
6) Descrição da SIF;
7) Definição do estado seguro do processo;
8) Risco potencial de processo;
9) Causa comum de falha do processo;
10) Requisitos de regulamentação;
11) SIL requerido;
12) Tempo de campanha;
13) Tempo de partida após trip;
14) Tempo de resposta da SIF;
15) Taxa de demanda esperada;
16) Intervalo de testes funcionais;
17) Requisitos de teste de manutenção para alcançar o SIL necessário;
18) Requisitos de confiabilidade para trips espúrios;
19) Arquitetura que atende ao SIL;
20) Evento iniciador;
21) Range e set de trip;
22) Barreira de segurança intrínseca;
23) Elemento de comparação;
41
24) Local do elemento comparação;
25) Tolerância da comparação;
26) Ação da comparação;
27) Diagnose elemento inicial;
28) Modo de falha de todos os sensores e transmissores;
29) Ação da diagnose;
30) MTTR dos elementos iniciadores;
31) MTTR dos elementos lógicos;
32) MTTR dos elementos finais;
33) Diagrama de causa e efeito;
34) Documento do diagrama lógico;
35) Folha do diagrama lógico;
36) Trip manual;
37) Tag trip manual;
38) Ação de by-pass;
39) Tipo de override de partida;
40) HS override;
41) Tipo de reset;
42) HS reset;
43) Solenóides;
44) Ação;
45) Elemento Final;
46) Modo de falha do elemento final;
47) Ação a ser tomada em falta de energia; e
48) Requisitos para IHM.
5.3.2 - Relação com o Ciclo de Vida de Segurança da IEC 61511
Esta etapa da especificação de requisitos de segurança para as funções
instrumentadas de segurança está relacionada com as Clauses 10 SIS Safety
requirements specification e 12 Requirements for application software, including
selection criteria for utility software como parte integrante da documentação
comprobatória do Safety life-cycle structure and planning.
42
5.4 - DETALHAMENTO DAS FUNÇÕES INSTRUMENTADAS DE SEGURANÇA
O projeto do SIS deve estar de acordo com as especificações dos requisitos de
segurança do SIS. A probabilidade de falha na demanda média de cada função
instrumentada de segurança deve ser igual, ou inferior, ao objetivo de falha
especificado conforme as especificações dos requisitos de segurança. Esta
probabilidade obrigatoriamente deve ser verificada por cálculos de confiabilidade.
Tendo sido estabelecido pelas etapas anteriores que o SIS irá operar em modo
de baixa demanda, o projeto deve então calcular para que a probabilidade média de
falha na demanda de cada função instrumentada de segurança seja igual, ou
inferior, ao objetivo de SIL requerido. A capabilidade dos componentes em relação à
IEC 61508 também deve ser avaliada: componentes e subsistemas selecionados
para uso como parte de um sistema instrumentado de segurança para aplicações de
SIL 1 até SIL 3 devem estar de acordo com a IEC 61508, assim como devem
atender a requisitos mínimos de tolerâncias a falhas de hardware (HFT). Tolerância
a falha de hardware é a habilidade de um componente ou subsistema de continuar a
ser capaz de empreender a função instrumentada de segurança exigida na presença
de uma ou mais falhas perigosas de hardware. Uma tolerância a falhas de hardware
de 1 significa que há, por exemplo, dois dispositivos e a arquitetura é tal que a falha
perigosa de um dos dois componentes ou subsistemas não impede que a ação de
segurança ocorra. A tolerância mínima a falhas de hardware é definida para aliviar
eventuais deficiências nos projetos de SIF devido ao número de suposições
assumidas tanto no projeto quanto na incerteza das taxas de falha dos componentes
ou subsistemas utilizados em diferentes aplicações de processos.
5.4.1- Considerações Iniciais
A probabilidade de falha calculada de cada função instrumentada de segurança
devido a falhas de hardware deve considerar:
a) a arquitetura do SIS no que se refere a cada função instrumentada de
segurança em questão;
b) a taxa de falha de cada subsistema devido a falhas aleatórias de hardware,
em qualquer dos modos que causaria uma falha perigosa do SIS, mas que não
sejam detectadas por testes de diagnóstico;
43
c) a taxa de falha de cada subsistema devido a falhas aleatórias de hardware,
em qualquer dos modos que causaria uma falha perigosa do SIS que sejam
detectadas por testes de diagnóstico;
d) a suscetibilidade do SIS a falhas de causa comum;
e) a cobertura de diagnóstico de quaisquer testes periódicos de diagnóstico
(determinado de acordo com IEC 61511-2), o intervalo de testes de diagnóstico
associados e a confiabilidade das instalações de diagnóstico;
f) a periodicidade com que são realizados testes funcionais;
g) os tempos de reparo de falhas detectadas;
h) a taxa de falha perigosa estimada de qualquer processo de comunicação em
qualquer dos modos que causaria uma falha perigosa do SIS (ambas detectadas e
não detectadas por testes de diagnóstico);
i) a taxa de falha perigosa estimada de qualquer resposta humana em qualquer
dos modos que causaria uma falha perigosa do SIS (ambas detectadas e não
detectadas por testes de diagnóstico);
j) a susceptibilidade a distúrbios CEM (compatibilidade eletromagnética) (por
exemplo, de acordo com IEC 61326-1); e
k) a susceptibilidade às condições climáticas e mecânicas (por exemplo, de
acordo com IEC 60654-1 e IEC 60654-3).
5.4.2 - Detalhamento prático
De forma geral e prática, o projeto de uma SIF é um processo iterativo que
consiste de:
1) Estudar os requisitos de segurança para as SIF
a) Conhecer o processo;
b) SIL requerido;
c) Tempo de campanha;
d) Taxa mínima de trips espúrios;
e) Tempo de atuação;
f) Requerimentos para os componentes (ex.: TSO - tight shut-off - para
válvulas, selos para transmissores);
44
g) MTTR; e
h) Tempo de partida.
2) Especificar todos os componentes das SIF
a) Estudar as melhores tecnologias aplicáveis;
b) Avaliar implicações dos modos de falhas de cada componente;
c) Avaliar os fatores de cobertura dos componentes; e
d) Avaliar as documentações disponíveis.
3) Calcular o PFDavg (ou PFH nos casos de alta demanda ou demanda
contínua) das SIF
a) Avaliar necessidade de redundância e diversidade de tecnologias;
b) Avaliar necessidade de diagnóstico e sua cobertura;
c) Avaliar necessidade e periodicidade de intervalo de teste funcionais em
operação; e
d) Avaliar necessidade e periodicidade de Partial Stroke Test (teste de
curso parcial) para válvulas on-off.
Embora faça parte dos cálculos de verificação das SIF, o mesmo não endereça
preocupações relacionadas ao projeto do PLC tampouco da sua configuração, tendo
seu foco direcionado para os aspectos relacionados à performance da
instrumentação de campo. Estas considerações do projeto de Automação são
avaliadas durante a elaboração da especificação dos requisitos de segurança.
Como regra geral, os dispositivos de campo podem ser responsáveis por
aproximadamente 90% das falhas de um sistema instrumentado de segurança. O
sistema de lógica em geral é responsável por apenas 10%. Obviamente estas taxas
podem variar significativamente em diferentes tecnologias e configurações.
Dispositivos de campo devem ser selecionados e instalados para minimizar falhas
que podem resultar em informações imprecisas devido às condições decorrentes do
processo e condições ambientais. Condições que devem ser consideradas incluem
corrosão, congelamento de materiais em tubulações, sólidos em suspensão,
polimerização, coqueamento, temperaturas e pressões extremas, condensação na
perna seca de linhas de impulso e condensação insuficiente em pernas cheias de
linhas de impulso.
45
É importante ressaltar que os dados gerais de taxas de falhas são válidos
somente para falhas aleatórias. Falhas sistemáticas (e.g., especificações
inadequadas, processos de má manutenção, erros de calibração, treinamento, etc.)
também podem ter um impacto significativo no desempenho global do sistema.
Taxas de falhas sistemáticas dos dispositivos de campo podem ser maiores do que
para os equipamentos do sistema de lógica porque existem mais atividades
centradas nestes dispositivos.
Com base no exposto acima, temos como um dos objetivos desta etapa do
projeto, além do cálculo para garantir que a probabilidade de falha média sob
demanda e a taxa de falha espúria ou trip espúrio do sistema instrumentado de
segurança atendam o exigido pela especificação de requisitos de segurança, evitar
que falhas sistemáticas devido a erros de especificação de componentes por
aplicabilidade ao processo, fatores de causa comum e arquiteturas mal
dimensionadas também venham a contribuir para a falha do sistema instrumentado
de segurança em cumprir com os requisitos necessários.
Sendo assim, com o uso de uma ferramenta de software, esta parte do projeto
consistiu das seguintes etapas:
a) Levantamento das especificações de todos os componentes utilizados
na construção das SIF;
b) Levantamento e verificação dos dados de falhas de todos os
componentes;
c) Inserção dos dados informativos de cada SIF, incluindo o SIL requerido;
d) Inserção dos dados da especificação dos requisitos de segurança (e.g.,
tempo de campanha, MTTR, etc.).
e) Inserção dos dados de falhas de cada componente em software
específico.
f) Análise e cálculo de desempenho iterativo, testando várias arquiteturas
visando a melhor relação custo/benefício. Nesta fase, opta-se por tentar
a arquitetura mais simples e que se aproxime o máximo possível do
tempo de campanha atingindo o SIL requerido. Se viável e não
comprometer a funcionalidade de segurança, a necessidade de testes
funcionais deve ser minimizada visando evitar a introdução de falhas
sistemáticas no SIS devido a erros em procedimentos de manutenção.
46
g) Verificação do desempenho de cada malha em atingir o SIL requerido,
assim como análise das taxas para falhas espúrias (MTTFS),
capabilidade em relação a IEC 61508, etc.
h) Emissão do relatório conclusivo.
5.4.3 - Seleção de componentes para o projeto de funções instrumentadas de
segurança
Conforme descrito na IEC 61511:2003, os profissionais envolvidos em todas as
etapas do ciclo de vida de segurança devem ter experiência comprovada nas
respectivas fases que estão envolvidos. Para este processo de especificação dos
componentes, torna-se de suma importância que profissionais de instrumentação
com grau de senioridade assumam esta atividade. Isto se deve ao fato que diversos
aspectos relacionados à disciplina de instrumentação devam ser considerados
visando minimizar riscos de falhas perigosas ocultas, tais como:
• Definição de tecnologia de medição adequada;
• Definição de características construtivas de elementos finais (e.g., tipos
de internos de válvulas de controle para evitar fenômenos de “cold-
flow”).
Adicionalmente, a qualidade da documentação para o processo de verificação é
de extrema importância para que o resultado final seja confiável. Conforme já
exposto, componentes e subsistemas para uso em sistemas instrumentados de
segurança devem estar de acordo com a norma IEC 61508 ou cumprir os requisitos
para a seleção baseada no uso prévio conforme a IEC 61511.
47
5.4.4 - Especificação da arquitetura
É necessário quantificar a probabilidade de falha separadamente para cada
função instrumentada de segurança porque diferentes modos de falha de
componentes podem se aplicar e a arquitetura do SIS (em termos de redundância)
também pode variar. Deve-se buscar sempre a melhor arquitetura para atender os
requisitos tanto de segurança quanto de disponibilidade. Antes da emissão das
normas IEC 61508 e IEC 61511, era muito comum as malhas de intertravamento
serem especificadas diretamente como “2oo3 pois é a que melhor atende”. Com os
métodos de cálculo previsto pelas normas IEC esta definição tornou-se mais segura
e realista, pois se define o atendimento aos requisitos de forma mais científica e
baseada em dados de falhas de componentes. Arquiteturas como 1oo2 ou 2oo2
passaram a ser melhor consideradas para atendimentos a alguns requisitos
funcionais de segurança e disponibilidade assim como também aspectos financeiros
começaram a ser melhor analisados.
5.4.5 - Cálculo das funções instrumentadas de segurança
De posse da documentação comprobatória das taxas de falhas seguras
detectáveis, falhas seguras não detectáveis, falhas perigosas detectáveis e falhas
perigosas não detectáveis e com as informações constantes da Especificação dos
Requisitos de Segurança (tempo de campanha, tempo de partida, MTTR fornecido
pela manutenção, etc.) é possível, através de software dedicado, se testar diversas
configurações e intervalos de testes buscando-se sempre a melhor relação custo
benefício e a que seja mais interessante para a planta em relação aos intervalos de
testes e necessidade de partial stroke test para as válvulas on-off. Neste caso
buscou-se o intervalo de teste de 24 meses para todos os componentes, visando-se
eliminar a necessidade de partial stroke test e realizando-se o full stroke test para as
válvulas on-off.
O software utilizado para realização dos cálculos foi o exSILentia version
2.5.1.7.
48
Figura 6 – Software utilizado para a realização dos cálculos de verificação de
SIL.
O banco de dados utilizado para obtenção das taxas de falhas dos
componentes das SIF foi o que consta no próprio software. A versão do banco de
dados está referenciada no relatório automático emitido que está anexado ao
relatório final de verificação de SIL. Para os componentes que não estavam
inseridos no banco de dados do exSILentia, foram utilizados os certificados e
documentos comprobatórios enviados pelos fornecedores. Este software dedicado
utiliza modelos Markov para realização dos cálculos de verificação. A utilização
desta técnica é uma entre as diversas aprovadas pela IEC 61511 conforme disposto
no item 11.9.2 Note 1 e na IEC 61508-7 Annex C. O software também possui
certificação pela IEC 61508 para utilização em projetos de SIS.
5.4.6 - Resultados dos cálculos das SIF
Com os dados inseridos e calculados, obtiveram-se as configurações e
resultados para cada SIF, tendo todas atendendo ao SIL requerido conforme
demonstradas nas figuras 7 a 39 a seguir.
49
Figura 7 – Resultados da verificação da SIF-31-001.
Figura 8 – Resultados da verificação da SIF-31-002.
50
Figura 9 – Resultados da verificação da SIF-31-003.
Figura 10 – Resultados da verificação da SIF-32-001.
51
Figura 11 – Resultados da verificação da SIF-32-002.
Figura 12 – Resultados da verificação da SIF-32-003/004.
52
Figura 13 – Resultados da verificação da SIF-32-005.
Figura 14 – Resultados da verificação da SIF-32-006.
53
Figura 15 – Resultados da verificação da SIF-33-001.
Figura 16 – Resultados da verificação da SIF-33-002.
54
Figura 17 – Resultados da verificação da SIF-33-003.
Figura 18 – Resultados da verificação da SIF-33-004.
55
Figura 19 – Resultados da verificação da SIF-33-005.
Figura 20 – Resultados da verificação das SIF-33-006/007.
56
Figura 21 – Resultados da verificação da SIF-33-008.
Figura 22 – Resultados da verificação da SIF-33-009.
57
Figura 23 – Resultados da verificação da SIF-33-010.
Figura 24 – Resultados da verificação da SIF-33-011.
58
Figura 25 – Resultados da verificação da SIF-33-012.
Figura 26 – Resultados da verificação da SIF-33-013.
59
Figura 27 – Resultados da verificação da SIF-33-014.
Figura 28 – Resultados da verificação das SIF-41-001/002/003.
60
Figura 29 – Resultados da verificação das SIF-41-004/005/006.
Figura 30 – Resultados da verificação da SIF-41-007.
61
Figura 31 – Resultados da verificação da SIF-41-008.
Figura 32 – Resultados da verificação da SIF-41-009.
62
Figura 33 – Resultados da verificação das SIF-41-010/011/012.
Figura 34 – Resultados da verificação das SIF-41-013/014/015.
63
Figura 35 – Resultados da verificação das SIF-41-016/017/018.
Figura 36 – Resultados da verificação das SIF-41-019/020/021.
64
Figura 37 – Resultados da verificação das SIF-42-001/002.
Figura 38 – Resultados da verificação das SIF-42-003.
65
Figura 39 – Resultados da verificação das SIF-42-004.
5.4.7 - Relatório de verificação das SIF
Ao final do processo de verificação, a disciplina de instrumentação do projeto
emitiu o relatório de verificação das SIF em forma de documento memória de
cálculo. Este relatório tem por objetivo apresentar o resultado da verificação,
constando todo o processo de cálculo para cada SIF com as taxas de falhas e suas
respectivas documentações comprobatórias. Também foram inseridas informações
sobre a responsabilidade técnica dos envolvidos nas especificações.
5.4.8 - Relação com o Ciclo de Vida de Segurança da IEC 61511
Esta etapa do projeto e verificação das funções instrumentadas de segurança
está relacionada com a Clause 11 SIS design and engineering como parte integrante
da documentação comprobatória do Safety life-cycle structure and planning.
5.5 - TESTE DE ACEITAÇÃO DE FÁBRICA E TESTE DE ACEITAÇÃO DE CAMPO DO SIS
Com as SIF verificadas de acordo com o projeto e utilizando os componentes
aprovados e ratificados pelo fornecedor do MAC, o projeto de configuração foi
testado na fábrica do fornecedor pelas equipes de processo, operação e automação
da Braskem, pela equipe da licenciadora Ineos e pela equipe do fornecedor. O
documento SRS foi exaustivamente utilizado durante esta fase, tendo servido de
base para a elaboração dos procedimentos de testes, em conjunto com as
determinações de funcionamento de toda a operação fornecida pela Ineos.
66
Com os sistemas montados em campo, os mesmos foram sendo liberados
gradativamente para as equipes de comissionamento. A fase de comissionamento
foi executada e controlada pelas diversas equipes de operação e manutenção da
ainda futura planta, com suporte das equipes da montadora na solução de desvios.
As equipes de processo da Braskem e da licenciadora Ineos também participaram
ativamente desta fase, oferecendo esclarecimentos funcionais sobre as SIF. O
fornecedor do MAC também apoiou esta fase até a partida unidade.
5.5.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511
Esta etapa de testes das funções instrumentadas de segurança está
relacionada com a Clauses 14 SIS Installation and commissioning como parte
integrante da documentação comprobatória do Safety life-cycle structure and
planning.
5.6 - VALIDAÇÃO DAS FUNÇÕES INSTRUMENTADAS DE SEGURANÇA
Com o sistema projetado, montado e comissionado, o objetivo do processo de
validação foi comprovar, através de análises documentais, que o sistema que foi
instalado pode cumprir com os requisitos conforme indicado na especificação dos
requisitos de segurança. Esta etapa do projeto foi realizada analisando-se, além dos
documentos de projetos e análise de riscos descritos anteriormente, todos os testes
realizados durante o comissionamento e a pré-partida do sistema, onde os relatórios
de acompanhamento foram devidamente assinados pelos representantes da
montadora e da operação. Nesta etapa a SRS foi um documento essencial para
consolidação de todos os requisitos funcionais requeridos, sem a qual não haveria
subsídios suficientes para analisar se o SIS está em conformidade com as
necessidades de redução de riscos do processo.
5.6.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511
Esta etapa de validação das funções instrumentadas de segurança está
relacionada com a 15 SIS safety validation como parte integrante da documentação
comprobatória do Safety life-cycle structure and planning.
67
CAP. 6 - RESULTADOS
Os resultados da avaliação qualitativa das fases do projeto do SIS da Planta de
PVC Alagoas com a IEC 61511:2003 estão descritos abaixo.
6.1 - FASE AVALIAÇÃO DE PERIGO E RISCO
Objetivo: determinar os perigos e eventos perigosos do processo e dos
equipamentos associados, a sequência dos acontecimentos que levaram a eventos
perigosos, os riscos de processos associados com o evento perigoso, os requisitos
para a redução de risco e as funções de segurança necessárias para atingir a
redução de risco necessária.
Cláusula da IEC 61511: 8 Process Hazard and Risk Assessment.
Entrada: projeto do processo, layout, disposições gerais, objetivos de
segurança.
Saída: descrição dos perigos, as funções de segurança requeridas e a redução
de risco associada.
Considerações: a determinação dos riscos e eventos perigosos foi realizada
conforme técnica de análise conhecida e consolidada por profissionais ligados ao
processo tanto da Braskem quanto da licenciadora Ineos. A técnica de análise foi
conduzida por profissional experiente e documentada apropriadamente.
Resultado da avaliação desta fase: projeto aderente com os requisitos da
norma IEC 61511:2003.
6.2 - FASE ATRIBUIÇÃO DAS FUNÇÕES DE PROTEÇÃO NAS CAMADAS DE PROTEÇÃO
Objetivo: atribuição das funções de proteção nas camadas de proteção e o
nível de integridade de segurança associado a cada função instrumentada de
segurança.
Cláusula da IEC 61511: 9 Allocation of safety functions to protection layers.
Entrada: descrição da função instrumentada de segurança requerida e seus
requisitos integridade de segurança associados.
Saída: descrição da atribuição dos requisitos de segurança.
68
Considerações: a quantificação de SIL para todas as SIF identificadas foi
realizada conforme técnicas de análises definidas em norma interna e reconhecidas
pela IEC 61511, assim como realizadas por profissionais ligados ao processo,
produção, automação e instrumentação da Braskem. A técnica de análise foi
conduzida por consultoria experiente e documentada apropriadamente.
Resultado da avaliação desta fase: projeto aderente com os requisitos da
norma IEC 61511:2003.
6.3 - ESPECIFICAÇÃO DOS REQUISITOS DE SEGURANÇA DO SIS
Objetivo: especificar os requisitos para cada SIS, em termos das funções
instrumentadas de segurança e suas integridades de segurança associadas, para
atingir a segurança funcional necessária.
Cláusula da IEC 61511: SIS Safety requirements specification e 12
Requirements for application software, including selection criteria for utility software
Entrada: descrição da atribuição dos requisitos de segurança.
Saída: requisitos de segurança do SIS; requisitos de segurança de software.
Considerações: a elaboração dos requisitos de segurança foi desenvolvida
pelos envolvidos diretamente projeto: fornecedor do MAC, empresa de engenharia,
processo, automação e instrumentação da Braskem. O documento foi elaborado por
consultoria experiente e documentada apropriadamente.
Resultado da avaliação desta fase: projeto aderente com os requisitos da
norma IEC 61511:2003.
6.4 - PROJETO E ENGENHARIA DO SIS
Objetivo: projetar o SIS para satisfazer os requisitos das funções
instrumentadas de segurança e da integridade de segurança.
Entradas: requisitos de segurança do SIS; requisitos de segurança de software.
Saídas: projeto do SIS de acordo com os requisitos de segurança do SIS;
planejamento para teste de integração do SIS.
69
Considerações: a elaboração do projeto do SIS foi desenvolvida pela empresa
de engenharia e pelo fornecedor do MAC, sob supervisão do processo, automação e
instrumentação da Braskem. A verificação de SIL foi realizada por profissional
certificado em especificações de sistemas de segurança da Braskem, com as
informações advindas da empresa de engenharia e do fornecedor do MAC. Os
documentos gerados para o projeto foram aprovados pela Braskem e arquivados
apropriadamente.
Resultado da avaliação desta fase: projeto aderente com os requisitos da
norma IEC 61511:2003.
6.5 - COMISSIONAMENTO DA INSTALAÇÃO E VALIDAÇÃO DO SIS
Objetivo: integrar e testar o SIS, validar que o SIS atende em todos os aspectos
os requisitos para segurança nos termos das funções instrumentadas de segurança
requeridas e da integridade de segurança.
Entradas: projeto do SIS, Plano de teste de integração do SIS, requisitos de
segurança do SIS, plano para validação de segurança do SIS.
Saídas: funcionamento completo do SIS de acordo com o projeto do SIS,
resultados dos testes de integração do SIS, Resultados da instalação,
comissionamento e atividades da validação.
Considerações: o comissionamento do projeto do SIS foi desenvolvido tanto em
fábrica quanto em campo pela equipes de automação, produção, manutenção e
instrumentação da Braskem, com o apoio da empresa de engenharia, do fornecedor
do MAC, da licenciadora e da montadora. Os documentos comprobatórios de cada
etapa foram aprovados pela Braskem e arquivados apropriadamente. O processo de
validação do SIS foi realizado por consultoria independente do projeto contratada
pelo fornecedor do MAC.
Resultado da avaliação desta fase: projeto aderente com os requisitos da
norma IEC 61511:2003.
70
6.6 - RESULTADO GERAL DO PROJETO DE SIS DA PLANTA DE PVC ALAGOAS
O projeto da planta de PVC Alagoas atendeu as fases descritas nos diversos
requisitos da norma IEC 61511:2003, tanto nos aspectos qualitativos quanto nos
aspectos de independência e competência dos executantes entre as diversas fases.
Estes aspectos são evidenciados pela quantidade e qualidade das empresas e
equipes que participaram do projeto de SIS: Braskem (processo, automação,
instrumentação, produção, manutenção), Ineos (licenciadora da tecnologia de
processo), Genpro (empresa de engenharia), Emerson Process (fornecedor do
MAC), Exida (consultoria), DNV (consultoria de segurança) e CNO (montagem).
Todo o projeto foi apropriadamente documentado e está disponível para a produção,
manutenção e para os gestores de riscos da unidade para que sejam cumpridas as
próximas fases do ciclo de vida de segurança preconizadas pela norma.
71
CAP. 7 - CONCLUSÃO
O processo de atendimento aos requisitos do ciclo de vida de segurança
proposto pela IEC 61511 nas fases de projeto depende de uma equipe
multifuncional de profissionais comprovadamente capacitados para executar cada
etapa do ciclo.
Equipes de processo devem estar qualificadas e certificadas em técnicas de
análise de riscos de processo visando identificar e quantificar apropriadamente os
riscos de cada processo. Funções instrumentadas de segurança mal dimensionadas
durante esta importante etapa do projeto podem gerar custos adicionais decorrentes
de um sobre dimensionamento das exigências de prevenção e/ou mitigação de
riscos mal analisados. Por outro lado, o processo poderá não ser devidamente
protegido contra riscos devido aspectos importantes das funções instrumentadas de
segurança não terem sido detectados durante a fase de identificação dos riscos e
especificação dos requerimentos.
Equipes de automação devem estar qualificadas e certificadas em projetos de
funções instrumentadas de segurança visando entender a importância da
elaboração dos requisitos funcionais de segurança de tais projetos para que modos
de falha comum e probabilidades de falhas sistemáticas sejam devidamente
minimizados. Do mesmo modo, equipes de instrumentação devem estar qualificadas
e certificadas visando minimizar estas mesmas falhas e cumprir os requerimentos
para cálculos das probabilidades de falha sob demanda, assim como entender a
importância da minimização de falhas perigosas não detectáveis durante a fase de
projeto.
Hoje a Braskem tem avançado nas especificações de funções instrumentadas
de segurança coordenando equipes capacitadas e qualificadas de projetos,
processo das unidades industriais e SSMA e contando com a colaboração de
consultorias especializadas em quantificação de riscos industriais e na elaboração
das melhores técnicas de engenharia de SIS. Além de usar a norma IEC
61511:2003 como referência, o desenvolvimento de uma cultura de segurança
desde a concepção do projeto até os procedimentos para manutenção do SIL ao
longo de toda a vida do projeto é fundamental para alcançar o objetivo final que é a
proteção da sociedade na qual está inserida.
72
Esta filosofia de trabalho advém do suporte organizacional da alta
administração da empresa, expressada através da adoção das melhores práticas de
governança corporativa e uma forte cultura empresarial que orienta a forma de
atuação da empresa. A adoção de Elementos Estratégicos como forma de gestão é
aplicada diretamente no dia-a-dia da empresa, tendo os princípios da política de
Qualidade, Saúde, Segurança e Meio Ambiente como norteadores para o processo
de gerenciamento do ciclo de segurança de seus ativos.
Finalizo este trabalho expressando os conceitos de Summers (2009), onde é
dito que definir e manter uma estratégia abrangente de redução de riscos requer
esforço. A melhoria contínua não tem um começo ou fim definido, porque a
segurança é uma coisa diária. Obter-se segurança não é um processo fácil. Se o
fosse, não haveria necessidade de tantas práticas e orientações para obtê-la.
Também não haveria necessidade de relações públicas e tantas campanhas de
orientação e conscientização.
Para se ter sucesso, a segurança deve ser um valor de negócio. Alcançá-la é
uma virtude.
73
REFERÊNCIAS BIBLIOGRÁFICA
AICHE. Guidelines for Hazard Evaluation Procedures. Third Edition. ed. New
York. New York: John Wiley & Sons, Inc., 2008. ISBN 978-0-47 1-978 15-2.
BECKMAN, L. Determining the required safety integrity level for your process.
ISA Transactions, v. 37, n. 2, p. 105-111, 1998 Abril.
GOBLE, W. M.; CHEDDIE, H. Safety Instrumented Systems Verification -
Practical Probabilistic Calculations. Triangle Park, NC: ISA - The Instrumentation,
Systems and Automation Society, 2005. ISBN 1-55617-909-X.
GREEN, D. L.; ARTHUR M. DOWELL, I. P. E. How to design, verify and
validate emergency shutdown systems. ISA Transactions, v. 34, n. 3, p. 261-272,
Outubro 1995.
GRUHN, P. et al. Quantifying the impact of partial stroke valve testing of safety
instrumented systems. ISA Transactions, v. 37, n. 2, p. 87-94, Abril 1998.
GRUHN, P.; CHEDDIE, H. Safety Instrumented Systems - Design, Analysis,
and Justification. 2nd Edition. ed. Triangle Park, NC: ISA - The Instrumentation,
Systems, and Automation Society, 2006. ISBN 1-55617-956-1.
GUO, H.; YANG, X. A simple reliability block diagram method for safety integrity
verification. Reliability Engineering & System Safety, Barking, Inglaterra, v. 92, n. 9,
p. 1267-1273, Setembro 2007.
HEALTH AND SAFETY EXECUTIVE. Out of Control: Why Control Systems Go
Wrong and How to Prevent Failure. Sheffield, U.K.: [s.n.], 1995.
HOKSTAD, P.; CORNELIUSSEN, K. Loss of safety assessment and the IEC
61508 standard. Reliability Engineering and System Safety, Barking, Inglaterra, v.
83, n. 1, p. 111-120, Janeiro 2004.
INTERNATIONAL ELECTROTECHNICAL COMMISSION (IEC). IEC 61511
Functional Safety: Safety Instrumented Systems for the Process Sector. Genebra,
Suiça: [s.n.], 2003.
74
JIN, H.; LUNDTEIGEN, M. A.; RAUSAND, M. Reliability performance of safety
instrumented systems: A common approach for both low- and high-demand mode of
operation. Reliability Engineering & System Safety, Barking, Inglaterra, v. 96, n. 3, p.
365-373, Março 2011.
LANGERON, Y. et al. Combination of safety integrity levels (SILs): A study of
IEC 61508 merging rules. Journal of Loss Prevention in the Process Industries, v. 21,
n. 4, p. 437-449, Julho 2008.
LIU, Y.; RAUSAND, M. Reliability assessment of safety instrumented systems
subject to different demand modes. Journal of Loss Prevention in the Process
Industries, v. 24, n. 1, p. 49-56, Janeiro 2011.
LUNDTEIGEN, M. A.; RAUSAND, M. Partial stroke testing of process shutdown
valves: How to determine the test coverage. Journal of Loss Prevention in the
Process Industries, v. 21, n. 6, p. 579-588, Novembro 2008.
LUNDTEIGEN, M. A.; RAUSAND, M. Spurious activation of safety instrumented
systems in the oil and gas industry: Basic concepts and formulas. Reliability
Engineering & System Safety, Barking, Inglaterra, v. 93, n. 8, p. 1207-1217, Agosto
2008.
LUNDTEIGEN, M. A.; RAUSAND, M. Architectural constraints in IEC61508: Do
they have the intended effect? Reliability Engineering and System Safety, Barking,
Inglaterra, v. 94, n. 2, p. 520-525, Fevereiro 2009.
MACDONALD, D. Practical Industrial Safety, Risk Assessment, and Shutdown
Systems. [S.l.]: Elsevier Science & Technology Books, 2004. ISBN 0750658045.
ROUVROYE, J. L.; BROMBACHER, A. C. New quantitative safety standards:
different techniques, different results? Reliability Engineering & System Safety,
Volume 66, Issue 2, November 1999, Pages 121-125, Barking, Inglaterra, v. 66, n. 2,
p. 121-125, Novembro 1999.
SMITH, D. J.; SIMPSON, K. G. L. Functional Safety: A Straightforward Guide to
applying IEC 61508 and Related Standards. 2nd Edition. ed. Burlington, Inglaterra:
Elsevier Butterworth-Heinemann, 2004. ISBN 0-7506-6269-7.
75
SUBCOMMITTEE, CENTER FOR CHEMICAL PROCESS SAFETY LAYER OF
PROTECTION ANALYSIS. Layer of Protection Analysis: Simplified Process Risk
Assessment. New York, New York: AIChe, 2001. ISBN 0-8169-0811-7.
SUMMERS, A. E. IEC 61511 and the capital project process - A protective
management system approach. Journal of Hazardous Materials, v. 130, n. 1-2, p. 28-
32, Março 2006.
SUMMERS, A. E. Continuous improvement and existing safety systems.
Journal of Loss Prevention in the Process Industries, v. 22, n. 6, p. 685-688,
Novembro 2009.
TIMMS, C. R. IEC 61508/61511- Pain or Gain? Process Safety Progress, v. 22,
n. 2, p. 105-108, Junho 2003.
1
GLOSSÁRIO
ARQUITETURA - arranjo de elementos de hardware e/ou software em um
sistema, por exemplo, arranjo de subsistemas de sistemas instrumentados de
segurança (SIS), estrutura interna de um subsistema SIS ou arranjo de programas
de softwares.
CAMADA DE PROTEÇÃO - qualquer mecanismo independente que reduza o
risco através de controle, prevenção ou mitigação.
COBERTURA DE DIAGNÓSTICO - razão entre a taxa de falha detectada e a
taxa de falha total do componente ou subsistema, conforme detectado pelos testes
de diagnóstico. Cobertura de diagnóstico não diz respeito a quaisquer falhas
detectadas pelos testes funcionais.
COMPONENTE - uma das partes de um sistema, subsistema ou dispositivo
desempenhando uma função específica.
DIVERSIDADE - existência de diferentes modos de se executar uma função
requerida
ELEMENTO FINAL - parte de um sistema instrumentado de segurança que
executa a ação física necessária para se alcançar o estado seguro
ESTADO SEGURO - estado do processo na qual a segurança foi atingida.
FALHA - perda da aptidão de parte do sistema em executar uma função
requerida.
FALHA ALEATÓRIA DE HARDWARE - falha que ocorre em momento
aleatório resultante de uma variedade de mecanismos de degradação do hardware.
FALHA DETECTADA - referem-se às falhas de hardware e software,
detectadas por testes de diagnóstico ou através da operação normal
FALHA PERIGOSA - falha que tem o potencial de colocar o sistema
instrumentado de segurança em estado perigoso ou na impossibilidade de executar
sua função.
FALHA POR CAUSA COMUM - falha, que é resultado de um ou mais eventos,
causando falhas de dois ou mais canais separados em um sistema de canais
múltiplos, levando a uma falha do sistema.
2
FALHA SEGURA - falha que não tem o potencial de colocar o sistema
instrumentado de segurança em estado de perigo ou impedido de atuar.
FALHA SISTÊMICA - falha relacionada de forma determinista a certa causa, a
qual pode ser eliminada através de: modificação do projeto ou do processo
industrial, procedimentos operacionais, documentação ou outros fatores relevantes.
FRAÇÃO DE FALHA SEGURA - fração da taxa geral de falha aleatória do
hardware de um dispositivo que resulte em uma falha segura ou uma falha perigosa
detectada.
FUNÇÃO INSTRUMENTADA DE SEGURANÇA (SIF) - função de segurança
com um SIL (nível de integridade de segurança) especificado, o qual é necessário
para alcançar a segurança funcional, podendo ser tanto uma função de proteção
instrumentada de segurança ou uma função de controle instrumentada de
segurança.
FUNÇÃO INSTRUMENTADA DE SEGURANÇA EM MODO CONTÍNUO -
quando no evento de uma falha perigosa da função instrumentada de segurança, um
perigo potencial ocorrerá independentemente de outras falhas a menos que ações
sejam tomadas para prevenção.
FUNÇÃO INSTRUMENTADA DE SEGURANÇA EM MODO DE DEMANDA -
quando uma ação específica (por exemplo, fechar uma válvula) é tomada em
resposta a condições do processo ou outras demandas. No evento de uma falha
perigosa da função instrumentada de segurança, o perigo potencial só ocorre no
evento de uma falha no processo ou no BPCS.
INSTRUMENTO - dispositivo usado para executar uma ação (tipicamente
encontrado em sistemas instrumentados).
MODO DE OPERAÇÃO - modo no qual uma função instrumentada de
segurança opera.
PERIGO - fonte potencial de dano.
PROTEÇÃO DE ATIVOS - função atribuída à concepção do sistema com o
propósito de prevenir danos em ativos.
3
REDUNDÂNCIA - uso de múltiplos elementos ou sistemas para executar a
mesma função; a redundância pode ser implementada por elementos idênticos
(redundância idêntica) ou por elementos diversos (redundância diversificada).
RISCO - combinação da frequência de ocorrência do dano com a severidade
deste dano.
RISCO TOLERÁVEL - risco que é aceito em um determinado contexto
baseado nos valores atuais de sociedade.
SEGURANÇA - livre de riscos inaceitáveis.
SEGURANÇA FUNCIONAL - parte da segurança total relacionada ao processo
e ao BPCS que depende do correto funcionamento do SIS e de outras camadas de
proteção.
SISTEMA BÁSICO DE CONTROLE DE PROCESSO (BPCS) - sistema que
responde aos sinais de entrada do processo, seus equipamentos associados, outros
sistemas programáveis e/ou a um operador, gerando sinais de saída de modo que o
processo e seus equipamentos associados operem da maneira desejada, mas que
não realiza nenhuma função instrumentada de segurança, ou seja, com SIL
requerido ≥ 1
SISTEMA DE CONTROLE - sistema que responde aos sinais de entrada do
processo e/ou de um operador, gerando sinais de saída de modo que o processo
opere da maneira desejada.
SISTEMA INSTRUMENTADO DE SEGURANÇA (SIS) - sistema instrumentado
usado para implementar uma ou mais funções instrumentadas de segurança. Um
SIS é composto de qualquer combinação de sensor(es), logic solver(s) e
elemento(s) final(ais).
TESTE FUNCIONAL - teste executado para revelar falhas não detectadas em
um sistema instrumentado de segurança para que, se necessário, o sistema possa
ser restaurado para sua funcionalidade projetada.
TOLERÂNCIA A FALHAS - aptidão de um componente em manter a função
requerida mesmo na ocorrência de avarias ou erros.
4
USO COMPROVADO (PROVEN-IN-USE) - quando uma avaliação
documentada, baseadas em usos prévios do componente, mostrou que existem
evidências apropriadas e suficientes que o mesmo é adequado para uso em um
sistema instrumentado de segurança.
VALIDAÇÃO - atividade de demonstrar que a função instrumentada de
segurança e o sistema instrumentado de segurança, após a instalação, satisfaçam
todos os aspectos dos requisitos de segurança especificados
VERIFICAÇÃO - atividade de mostrar para cada fase relevante do ciclo de vida
de segurança, por análise e/ou testes, que, para entradas específicas, as saídas
satisfazem todos os aspectos dos requisitos de segurança para a determinada fase.
1
ANEXO A – EXEMPLO DE PLANILHA DE LOPA DO PROJETO
1
ANEXO B – EXEMPLO DE VERIFICAÇÃO DE SIF
FIS-41-013 Falha ESS P do R-4101A
Este anexo apresenta os resultados da análise para a Função Instrumentada
de Segurança FIS-41-013 Falha ESS P do R-4101A.
Informações Gerais
A Função Instrumentada de Segurança é identificada por:
Nome da SIF Falha ESS P do R-4101A
Tag da SIF FIS-41-013
Descrição da SIF Proteção contra descontrole reacional no reator R-4101A devido
à falha do sistema primário de inibição do reator ou pressão
muito alta no reator. Abertura das 3 válvulas do sistema de N2 e
do vaso de inibição XV- 41004A, XV-41005A, XV-41006A (3oo3)
e as 2 válvulas de injeção no Reator XV-41039A, XV-41040A
(1oo2).
Referência da SIF SRS BK-AL03-00099-RT-90-00002 Rev. 0 (exida Consulting)
Relatório Técnico DNV - Estudos de LOPA (Layer of Protection
Analysis) e SIL (Safety Integrity Level) para o Projeto de
Ampliação das Plantas de PVC e MVC da Braskem PVC - AL
No: 12TS04C-1 Rev. 1, 2010-12-22
Fluxograma BK-AL03-00041-FX-21-00002_00002
Fluxograma BK-AL03-00041-FX-21-00006
Fluxograma BK-AL03-00041-FX-21-00013
Nome da Unidade PVC
Perigo Falha do Sistema Primário de Inibição e aumento da Pressão do
sistema e consequente ruptura do Reator, em caso de falha do
sistema de inibição e da PSV.
Consequência Segurança: Liberação de MVC para a atmosfera com formação
de incêndio em nuvem e explosão em nuvem.
Meio ambiente: -
2
Equipamentos: Danos a equipamentos e instalação devido a
incêndio em nuvem e explosão em nuvem.
Níveis de Integridade de Segurança
O Nível de Integridade de Segurança (determinado) que se deseja atingir por
esta Função Instrumentada de Segurança é:
SIL 2 com RRF > 100
A verificação do SIL concluiu que o Nível de Integridade de Segurança
alcançado por esta Função Instrumentada de Segurança é:
SIL 2 com RRF = 302
SILver
Esta seção fornece uma visão detalhada da verificação do Nível de Integridade
de Segurança realizado para a Função Instrumentada de Segurança FIS-41-013
Falha ESS P do R-4101A. De forma a realizar a parte dos cálculos de confiabilidade
da verificação do nível de integridade de segurança, são definidas as seguintes
premissas.
Tempo de Missão: 2 anos
Tempo de Partida: 24 horas
A SIF opera em modo de demanda Baixo.
3
A verificação de SIL foi realizada por Erick Jomil Bahia Garcia, CFSP, em 08
set 2011.
A capabilidade sistemática dos diversos componentes da Função
Instrumentada de Segurança FIS-41-013 Falha ESS P do R-4101A não foi
considerada. Consequentemente, a verificação SIL realizada apenas aborda os
requisitos quantitativos da IEC 61511.
Observações: Ver Relatório Técnico DNV No: 12TS04C-1 Rev 1, 2010-
12-22.
4
A partir dos dados de confiabilidade e dos detalhes dos cálculos descritos nas
próximas subseções deste relatório, a FIS-41-013 Falha ESS P do R-4101A atinge o
desempenho de segurança funcional mostrado na Tabela 1.
Tabela 1 Desempenho de Segurança Funcional
PFDavg RRF SIL
(PFDavg)
SIL
(Restrições da
Arquitetura IEC
61508)
SIL
(Systematic
Capability)
3,31E-03 302 2 2 2
A FIS-41-013 Falha ESS P do R-4101A também foi avaliada sobre o
comportamento relativo a intertravamentos espúrios. Os resultados expressos para
MTTFS são exibidos na Tabela 2.
Tabela 2 Intertravamentos Falsos
MTTFS (anos)
52,37
5
Configuração da Parte do Sensor
A função de segurança e o comportamento de intertravamento falso da parte do
sensor na Função Instrumentada de Segurança FIS-41-013 Falha ESS P do R-
4101A é quantificada da seguinte forma:
PFDavg da parte do Sensor: 2,40E-08
HFT da parte do Sensor: 4
MTTFS da parte do Sensor: 57,01 anos
As Restrições de Arquitetura (IEC 61508) da parte do sensor permitem usar até
SIL 4.
A FIS-41-013 Falha ESS P do R-4101A da parte do sensor consiste de 3
Grupo(s) de Sensor (es). A votação entre esses Grupos Sensores é 1oo3. Foi
considerado um fator de "causa comum" de 1% entre os grupos de sensores.
Grupo de Sensores 1: ZSL-41044A/41045A/41046A
As informações e dados de confiabilidade abaixo descrevem o Grupo de
Sensores ZSL-41044A/41045A/41046A como foi analisado na verificação do Nível
de Integridade de Segurança.
Votação dentro do grupo: 1oo3
HFT: 2
Tipo de Votação: Idêntica
Unidade Equipamento (cada): DXP-L20GNEB - GO SWITCH (Sys. Cap.: 2)
(My Own)
Intertravamento em alto
6
KFD2-SR2-Ex1.W (Sys. Cap.: 3) (My Own)
facor-β: 1 [%]
MTTR: 48 hora
Intervalo do Roteiro de Teste: 24 meses
Cobertura do Roteiro de Teste: 0 [%]
Tabela 3 mostra os dados de confiabilidade usados durante a verificação do
Nível de Integridade de Segurança do grupo sensor ZSL-41044A/41045A/41046A.
Tabela 3 Dados de Confiabilidade do Grupo Sensor ZSL-
41044A/41045A/41046A
Componente
Failure Rates [1/h] Tipo de
Arq
SFF [%] Falha
Baixa Falha Alta
Falha Det. DD DU SD SU Res.
Cada Unidade 86,3
DXP-L20GNEB - GO SWITCH
1,55E-09 3,45E-09 B -
KFD2-SR2-Ex1.W 2,58E-08 9,21E-08 7,66E-08 B -
Grupo de Sensores 2: PI-41011A
As informações e dados de confiabilidade abaixo descrevem o Grupo de
Sensores PI-41011A como foi analisado na verificação do Nível de Integridade de
Segurança.
Votação dentro do grupo: 1oo1
HFT: 0
Tipo de Votação: -
Unidade Equipamento (cada): Clean Service (Sys. Cap.: N/A)
Rosemount 3051T, SW Rev 7.0 or above (Sys. Cap.: 2/3)
Intertravamento em alto
Ajuste de Alarmes: Limite Inferior da Escala
Filtro de Diagnóstico: On
Trip On Alarm: On
KFD2-STC4-Ex1 (Sys. Cap.: 3) (My Own)
7
fator-β: - [%]
MTTR: 48 hora
Intervalo do Roteiro de Teste: 24 meses
Cobertura do Roteiro de Teste: 74 [%]
Tabela 4 mostra os dados de confiabilidade usados durante a verificação do
Nível de Integridade de Segurança do grupo sensor PI-41011A.
Tabela 4 Dados de Confiabilidade do Grupo Sensor PI-41011A
Componente
Failure Rates [1/h] Tipo de
Arq
SFF [%] Falha
Baixa Falha Alta
Falha Det. DD DU SD SU Res.
Cada Unidade 95,7
Rosemount 3051T, SW Rev 7.0 or above
2,60E-08
5,80E-08
2,56E-07
3,40E-08
3,40E-08
3,40E-07
1,15E-07
1,15E-07 B -
Clean Service
A -
KFD2-STC4-Ex1
2,20E-07
9,87E-09
9,87E-09
2,20E-07
3,02E-07
3,02E-07
A -
Os dados mostrados em azul e em itálico indicam o efeito do PLC detection
configuration que o controlador lógico (CLP) executa nos dados do grupo sensor.
Grupo de Sensores 3: PI-41012A
As informações e dados de confiabilidade abaixo descrevem o Grupo de
Sensores PI-41012A como foi analisado na verificação do Nível de Integridade de
Segurança.
Votação dentro do grupo: 1oo1
HFT: 0
Tipo de Votação: -
Unidade Equipamento (cada): Clean Service (Sys. Cap.: N/A)
Rosemount 3051T, SW Rev 7.0 or above (Sys. Cap.: 2/3)
Intertravamento em alto
Ajuste de Alarmes: Limite Inferior da Escala
Filtro de Diagnóstico: On
Trip On Alarm: On
8
KFD2-STC4-Ex1 (Sys. Cap.: 3) (My Own)
fator-β: - [%]
MTTR: 48 hora
Intervalo do Roteiro de Teste: 24 meses
Cobertura do Roteiro de Teste: 74 [%]
Tabela 5 mostra os dados de confiabilidade usados durante a verificação do
Nível de Integridade de Segurança do grupo sensor PI-41012A.
Tabela 5 Dados de Confiabilidade do Grupo Sensor PI-41012A
Componente
Failure Rates [1/h] Tipo de
Arq
SFF [%] Falha
Baixa Falha Alta
Falha Det. DD DU SD SU Res.
Cada Unidade 95,7
Rosemount 3051T, SW Rev 7.0 or above
2,60E-08
5,80E-08
2,56E-07
3,40E-08
3,40E-08
3,40E-07
1,15E-07
1,15E-07 B -
Clean Service
A -
KFD2-STC4-Ex1
2,20E-07
9,87E-09
9,87E-09
2,20E-07
3,02E-07
3,02E-07
A -
Os dados mostrados em azul e em itálico indicam o efeito do PLC detection
configuration que o controlador lógico (CLP) executa nos dados do grupo sensor.
Configuração da Parte do Controlador Lógico
A função de segurança e o comportamento de intertravamento falso da parte do
controlador lógico na Função Instrumentada de Segurança FIS-41-013 Falha ESS P
do R-4101A é quantificada da seguinte forma:
PFDavg da parte do Controlador Lógico: 3,48E-05
HFT da parte do Controlador Lógico: 0
MTTFS da parte do Controlador Lógico: 717,57 anos
As Restrições de Arquitetura (IEC 61508) da parte do Controlador Lógico
permitem usar até SIL 3.
A informação e dados de confiabilidade abaixo descrevem o grupo de
Controlador Lógico CLP de Segurança como analisado durante a verificação do
Nível de Integridade de Segurança.
9
Nome do Controlador Lógico: CLP de Segurança
Equipamento: Emerson DeltaV SIS Redundant SLS
MTTR: 24 horas
Intervalo do Roteiro de Teste: 12 meses
Cobertura do Roteiro de Teste: 80 [%]
fator-β: 2 [%]
Tipo de Restrição da Arquitetura: B
Tabela 6 os dados de confiabilidade utilizados durante a verificação de SIL do
grupo do Controlador Lógico CLP de Segurança.
Tabela 6 Dados de Confiabilidade do Controlador Lógico CLP de Segurança
Componente
Número usado em
análise por Unidade
Taxa de Falhas [1/h] SFF [%] SD SU DD DU Res.
Processador Principal [Emerson SLS1508 Main Processor]
1 1,10E-06 1,50E-08 1,30E-06 6,00E-09 6,89E-07 99,86
Fonte de Alimentação [Generic Power Supply]
1 2,25E-06 2,50E-07 100,00
Canal de Entrada Analógica 2 2,90E-08 2,30E-08 8,00E-12 4,10E-08 -
Canalde Entrada Digital 3 1,30E-08 2,70E-08 1,30E-08 4,60E-08 -
Canal de Saída Digital de Baixa (Tensão)
5 2,00E-08 1,20E-08 1,40E-08 -
Com Enhanced Diagnostics: Sim
Switchover every 6 meses
Configuração da Parte do Elemento Final
A função de segurança e o comportamento de intertravamento falso da parte do
elemento final na Função Instrumentada de Segurança FIS-41-013 Falha ESS P do
R-4101A é quantificada da seguinte forma.
PFDavg da parte do Elemento Final: 3,27E-03
HFT da parte do Elemento Final: 0
MTTFS da parte do Elemento Final: 6155,14 anos
As Restrições de Arquitetura (IEC 61508) da parte do Elemento Final permitem
usar até SIL 2.
10
A parte do Elemento Final na Função Instrumentada de Segurança FIS-41-013
Falha ESS P do R-4101A consiste do 2 Grupo(s) de Elementos Finais. A votação
entre os Grupos de Elementos Finais é 2oo2. Foi considerado um fator de "causa
comum" de 1% entre os grupos de elementos finais.
Grupo do Elemento Final 1: XV-41004A/5A/6A
As informações e dados de confiabilidade abaixo descrevem o Grupo do
Elemento Final XV-41004A/5A/6A como analisado durante a verificação do Nível de
Integridade de Segurança.
Votação dentro do grupo: 3oo3
HFT: 0
Tipo de votação: Idêntica
Unidade Equipamento (cada): Pepperl+Fuchs KFD2-SL2-
(Ex)1.LK.**** (Sys. Cap.: 3)
ASCO Series 551/552/553 NC, CAI, 3/2, Single (Sys.
Cap.: 3)
El-O-Mastic E-Series, Spring-Return (Sys. Cap.: 2)
F30-CSJR (Bray) (Sys. Cap.: 3) (My Own)
Serviço em Ambiente Limpo, Full Stroke, Abre para
Intertravar
Fator-β: 1 [%]
MTTR: 96 horas
Intervalo do Roteiro de Testes: 1 meses
Cobertura do Roteiro de Testes: 95 [%]
11
Tabela 7 mostra os dados de confiabilidade usados durante a verificação do
Nível de Integridade de Segurança do grupo do Elemento Final XV-41004A/5A/6A.
Tabela 7 Dados de Confiabilidade do Grupo do Elemento Final XV-
41004A/5A/6A
Componente Taxa de Falha [1/h] Tipo de
Arq. SFF [%] DD DU SD SU Residual
Cada Unidade 80,6
Pepperl+Fuchs KFD2-SL2-(Ex)1.LK.****
1,03E-08 3,38E-07 3,66E-07 A -
ASCO Series 551/552/553 NC, CAI, 3/2, Single
5,07E-07 4,14E-07 1,19E-06 A -
El-O-Matic E-Series, Spring-Return
3,42E-07 7,60E-08 1,55E-06 A -
F30-CSJR (Bray) 3,38E-07 1,03E-06 A -
Grupo do Elemento Final 2: XV- 41010A/XV- 41011A
As informações e dados de confiabilidade abaixo descrevem o Grupo do
Elemento Final XV- 41010A/XV- 41011A como analisado durante a verificação do
Nível de Integridade de Segurança.
Votação dentro do grupo: 1oo2
HFT: 1
Tipo de votação: Idêntica
Unidade Equipamento (cada): Pepperl+Fuchs KFD2-SL2-
(Ex)1.LK.**** (Sys. Cap.: 3)
ASCO Series 551/552/553 NC, CAI, 3/2, Single (Sys.
Cap.: 3)
El-O-Matic E-Series, Spring-Return (Sys. Cap.: 2)
F15-SSJG (Bray) (Sys. Cap.: 3) (My Own)
Serviço em Ambiente Limpo, Full Stroke, Abre para
Intertravar
Fator-β: 1 [%]
MTTR: 96 horas
Intervalo do Roteiro de Testes: 24 meses
12
Cobertura do Roteiro de Testes: 63 [%]
Tabela 8 mostra os dados de confiabilidade usados durante a verificação do
Nível de Integridade de Segurança do grupo do Elemento Final XV- 41010A/XV-
41011A.
Tabela 8 Dados de Confiabilidade do Grupo do Elemento Final XV- 41010A/XV-
41011A
Componente Taxa de Falha [1/h] Tipo de
Arq. SFF [%] DD DU SD SU Residual
Cada Unidade 78,2
Pepperl+Fuchs KFD2-SL2-(Ex)1.LK.****
1,03E-08 3,38E-07 3,66E-07 A -
ASCO Series 551/552/553 NC, CAI, 3/2, Single
5,07E-07 4,14E-07 1,19E-06 A -
El-O-Matic E-Series, Spring-Return
3,42E-07 7,60E-08 1,55E-06 A -
F15-SSJG (Bray) 4,83E-07 8,84E-07 A -